← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #43436

RE: Hvordan kan man overhovedet sikre et webhotel mod sc ripting via Apache?! (Uhadada!!!)

  Thread PreviousDate PreviousThread Next 
>Andreas - kan vi ikke prøve at moderere sproget lidt? *tak*

  Sorry

>Jeg gætter på du ikke til dagligt arbejder med disse problemer - 
>men "manden" har faktisk ret.

  Måske ikke

>Forestil dig du er en hyggelig lille butik der sælger varer over 
>nettet. Du har så en lille database på samme server med dit 
>webhotel. Da det jo ville være nydeligt at kunne opdatere din 
>database f.eks. med varer & priser så kunden kan få en 
>bestilling ud af at kigge på der, laver du en lille afdeling der 
>er "sikker" i form at lidt php + password osv. for at kunne 
>redigere&opdatere din database.
>Nu sidder der en lille fyr der egentligt synes han gerne vil 
>have adgang til dine data og han tager et script, der som et 
>hvilket som helst andet bibliotek læser ind gennem hele din 
>webserver fil struktur og vupti... Alle filer som webserveren 
>(dvs. OGSÅ PHP) kan læse kan du læse

  Det formodes så at databasen er en tekstfil? og hvis man 
  giver en tekst fil +r må man også forvendte at der vil være 
  nogen der læser den. Jeg tror ikke der er nogen der ville
  sikkerheds godkende en database der var baseret på
  åbne tekstfiler.

>. Så kan du f.eks. glemme de 
>simple sikkerhedsmetoder som .htpassword / .htaccess osv.

  I know de har intet med UNIX sikkerhed at gøre

>Tro mig - det er afprøvet på adskellige web/php udbydere og den 
>virker desværre på temmeligt mange af dem.

  Ja det kan jeg sagtens forstille mig da mange formodentlig køre
  på en out of the boks redhat eller ligende.

>Du kan endda læse ANDET end web sider der er sikret - hvad med 
>f.eks. at læse /ets/passwd - og tænk så hvis administratoren 
>ikke brugte shadow passwords, så er det bare at gå igang med 
>hård knækning af passwords.

  Så vil jeg sige at han priotere hans sikkerheds huller i den forkerte
række følge : )
  og så skulle jeg også mene man kan få apache til at køre i en restricted
shell i 
  fx. /usr/local/apache

>Men - selvfølgelig - al respekt for du ikke har noget at skjule, 
>men jeg tror desværre at mange firmaer nu nok har 
>kontroloplysninger på deres systemer de ikke har lyst til at 
>dele med andre.

  Så må de kryptere dem eller stoppe med at bruge tekstfiler

>Kan du have en god dag og aften Andreas
  
  Thanks : )

>*PS. Se - jeg råbte slet ikke af ham.

  Hvorfor skulle du også det?

  Det jeg mente med den forige mail var at det hele handler om den interne
  sikkerhed på selve unix'en der skal være i orden da apache bare er en
"dum" server.
  Man kan tune lige så vildt man vil i sin apache men man kommer ikke uden
om at 
  det handler om public access når man snakker web server og derfor er det
meget
  vigtigt at unix maskinen ikke har "ondt i maven"

-- Regards Andreas

Follow ups

  Thread PreviousDate PreviousThread Next