 [Symfony]Bezpieczeństwo |
| [Symfony]Bezpieczeństwo |
Post
#1
|
|
 Grupa: Zarejestrowani Postów: 576 Pomógł: 14 Dołączył: 9.11.2005 Ostrzeżenie: (20%) 
 |
Tak się zastanawiam, jeżeli w symfony będzie napisany jakiś systemik na wewnętrzne potrzeby firmy, serwer będzie wystawiony na świat to czy taka aplikacja będzie bezpieczna ?
-------------------- |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%) 
|
Cytat(Lonas @ 1.04.2009, 13:56:01 )  Tak się zastanawiam, jeżeli w symfony będzie napisany jakiś systemik na wewnętrzne potrzeby firmy, serwer będzie wystawiony na świat to czy taka aplikacja będzie bezpieczna ? Jeśli aplikacja jest zabezpieczona autoryzacją oraz jest odporna na większość ataków, od XSS i SQLInjection zaczynając i na CSRF kończąc to jakie ma to znaczenie czy aplikacja jest wewnętrzna czy zewnętrzna?No chyba że wydaje Ci się, że aplikacji wewnętrznych nie zabezpiecza się 
|
|
|
|
|
Post
#3
|
|
 Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
Cytat No chyba że wydaje Ci się Jemu raczej wydaje sie ze, ze za bezpieczenstwo odpowiada symfony a on nie musi juz nic w tym kierunku robic... no ale moge sie mylic co mu sie wydaje 
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 576 Pomógł: 14 Dołączył: 9.11.2005 Ostrzeżenie: (20%)
|
Zastanawiam się czy symfony ma wbudowane wszelkie mechanizmy ochronne przed atakami.
Wiadomo że wewnętrzna czy zewnetrzna aplikacja to się zabezpiecza - no ale jak jest wewnetrzna to raczej atakow za wiele nie bedzie
-------------------- |
|
|
|
|
Post
#5
|
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)
|
Cytat(Lonas @ 1.04.2009, 14:08:21 ) Zastanawiam się czy symfony ma wbudowane wszelkie mechanizmy ochronne przed atakami. No takie zastanawianie się jest efektem tego, że ludzie zabierają się za budowanie aplikacji za pomocą frameworków a nie mają podstawowej wiedzy.Framework jest to zbiór narzędzi do budowy aplikacji. I żaden (mam na myśli ogół, nawet inne języki) framework niczego Ci automatycznie sam nie zabezpieczy ale dostarczy Ci narzędzi żebyś to zrobił. Tak, symfony oraz inne frameworki mają możliwość zabezpieczenia aplikacji. Kurcze, niedługo ludzie będą programować w symfony lub w ZendFramework a nie w PHP. |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 576 Pomógł: 14 Dołączył: 9.11.2005 Ostrzeżenie: (20%)
|
No dobrze, chodzi mi tutaj tylko o symfony jako o framework, który pewnie rzeczy w kwestii zabezpieczeń robi za nas
np chroni przed SQLInjection a o pewne rzeczy trzeba zadbać samemu - ale jeden framework może dac większe bezpieczeństwo na dzien dobry niż inny
-------------------- |
|
|
|
|
Post
#7
|
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)
|
Cytat(Lonas @ 1.04.2009, 14:52:57 ) symfony jako o framework, który (...) chroni przed SQLInjection Symfony nie chroni przed SQLInjection tylko Propel/Doctrine. Kwestia użycia tych narzędzi. Wszystkie frameworki w PHP jakie widziałem mają możliwość zastosowania zabezpieczeń przeciwko wszystkim najpopularniejszym (i nie tylko) atakom.
|
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 576 Pomógł: 14 Dołączył: 9.11.2005 Ostrzeżenie: (20%)
|
Pisząc o symfony miałem na myśli oczywiście propela
-------------------- |
|
|
|
|
Post
#9
|
|
|
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004 |
a ja pisząc o symfony mam oczywiscie na mysli gole baby...
 Niektore rzeczy nie są oczywiste. Przypomina mi sie niedawny przypadek na forum, jak koles napisal aplikacje w jakims frameworku i byl wielce zdziwiony ze byla ona podatna na ataki XSS. DLa niego oczywistym bylo ze skoro uzywa tego frameworka to aplikacja juz powinna byc ok. Nie przyszlo mu do glowy, ze musi uzyc narzedzi dostepnych przez ten framework by zapobiedz XSS -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
|
|
Post
#10
|
|
|
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)
|
Cytat(Lonas @ 1.04.2009, 14:57:46 ) Pisząc o symfony miałem na myśli oczywiście propela To nie jest oczywiste. Poza tym co stoi na przeszkodzie napisać akcję w której "ręcznie" połączysz się do bazy i wykonasz zapytanie bezpośrednio za pomocą natywnych funkcji PHP? Też się da.Frameworki są dla ludzi, którzy wiedzą jak wykorzystać narzędzia. Tak samo jak ABS w samochodzie. Nie wystarczy mieć. Trzeba wiedzieć jak używać i kiedy działa najlepiej. |
|
|
|
|
Post
#11
|
|
|
Grupa: Zarejestrowani Postów: 405 Pomógł: 6 Dołączył: 12.01.2007 Ostrzeżenie: (0%)
|
Ale Wy jestescie niemili - przeciez jak napisał, że symfony chroni przed sqlinjection to wiadomo, że chodziło mu o propela czy doctrine.
 Propel i Doctrine w symfony odpowiadają za rzeczy związane z bazą danych więc wiadomo, że o to mu chodziło. Po co tyle agresji z Waszej strony ?  A propo ataków XSS i CSRF to w settings.yml można ustawić: csrf_secret: UniqueSecret escaping_strategy: true Nie wiem w jakim to stopniu chroni przed tymi atakami więc byłbym wdzięczny za napisanie. W przypadku formularzy i ataków XSS to jak rozumiem symfony robi tutaj za nas wszystko, bo ma własne formularze więc i pewnie wbudowane w nie zabezpieczenia przed atakami XSS. Nie wiem jak sprawa wygląda w przypadku adresów URL, które zmodyfikowane mogą być przyczyną ataków XSS oraz CSRF. W ogóle napiszcie coś więcej. Gdzie trzeba samemu w symfony troszczyć się o bezpieczeństwo a gdzie symfony wykona za nas tę robotę?
Ten post edytował nieraczek 1.04.2009, 19:14:30 |
|
|
|
 |
|
Aktualny czas: 19.08.2025 - 18:10 |
