[phpmyadmin] czy stanowi zagrozenie dla serwera? Opcje

[soska66]

Bardzo bym prosil o Wasza krotka opinie na ponizsza kwestie

Dzis uslyszalem od innego programisty php, ze phpmyadmin instalowany na VPS stanowi duze 'security risk'.
Jestem lekko zszokowany, tylko do konca nie wiem czy dlatego, ze wczesniej o tym nie wiedzialem? czy dlatego, ze ten programista po prostu sie myli?

Macie jakies zdanie na ten temat? W jakim sensie phpmyadmin moze stanowic zagrozenie dla serwera i czy rzeczywiscie nie powinien byc uzywany?

Ten post edytował soska66 9.05.2010, 21:42:54

[jareeny]

1 - instalowanie phpmyadmin na serwerze bez odpowiedniego zabezpieczenia go - kto się opiekuje serwerami niech spojrzy sobie w logi jak często trafiają się roboty szukające phpmyadmin - nie sądzę aby szukały one sobie tylko z czystej ciekawości. Trzeba było przynajmniej napisać jak go zabezpieczyć przez .htaccess

wortal.php.pl

[blooregard]

http://secunia.com/advisories/product/20256/
http://secunia.com/advisories/product/1720/

Teoretycznie każde oprogramowanie stanowi zagrożenie.
phpMyAdmin jak każde oprogramowanie OpenSource ma dwie podstawowe cechy (patrząc pod kątem bepieczeństwa):
- każdy zainteresowany może pobrać kod źródłowy, przeanalizować go pod kątem występowania podatności, a po znalezieniu takowej opracować sposób na jej wykorzystanie (wada)
- popularność i otwartość phpMyAdmin'a sprawia, że oporgramowanie podlega niejako naturalnemu procesowi "testu w boju" i wiele błędów jest znajdowanych i raportowanych na bieżąco i usuwanych przez autorów, co przekłada się na stałe podnoszenie poziomu bezpieczeństwa (zaleta).

Kwestią drugorzędną pozostaje prawidłowa konfiguracja serwera www oraz bazodanowego, ale na to sam phpMyAdmin ma niewieli wpływ.

Sytuacja jest analogiczna w przypadku każdej innej aplikacji internetowej OpenSource.

[soska66]

no ten typ twierdzi, ze phpmyadmin jest niebezpieczny dlatego, ze kladzie baze danych w zasadzie na tacy. Tu sie zgadzam, ale przeciez wszystko zalezy od umiejetnej konfiguracji
Wg niego jedyna rozsadna i bezpieczna metoda laczenia sie do mysql jest laczenie przez ssh

ale niech mi ktos powie... jaka jest roznica miedzy laczeniem sie przez ssh i ladowaniem bazy lokalnie, a uzyciem phpmyadmin i ustawieniem autoryzacji (401) na folder z phpmyadmin.
Na chlopski rozum i tu i tu haker musi 'odgadnac' login i haslo aby uzyskac dostep a potem login i haslo samej bazy.

Ten post edytował soska66 9.05.2010, 22:19:13

[jareeny]

może chodziło mu o ten przypadek z uzywaniem phpmyadmina bez ustawienia autoryzacji

[Pilsener]

Moim zdaniem php myadmin powinien być wykorzystywany tylko awaryjnie (gdy nie udaje się połączyć z bazą z zewnątrz).

[piotr94]

wszystko zależy od zabezpieczeń.
phpmyadmin nie stanowi zagrożenia, jeśli jest poprawnie zainstalowany i skonfigurowany
ostatecznie można rozwiązać problem łopatologicznie - jeśli nie korzystamy z phpmyadmina to po prostu dajemy odpowiedni .htaccess, a jeśli korzystamy, to poprzez serwer (np. ftp) dodajemy AllowFrom i swój aktualny adres IP (tak zrobili z dbloaderem w Przemo)