[ LyoShi @ 02.10.2005. 16:19 ] @
|
| Obiđoh forum i uzduž, i popreko tražeći savete za obezbeđivanje sajta od eventualnih napada i slično...
Našao sam dosta zanimljivih stvari, ali ni jedna tema (koliko sam video) nema ovo kao glavnu tematiku...
E, sad... Bilo bi lepo ako bi neko mogao da meni, kao i ostalim početnicima u ovoj oblasti pojasni ovu nauku ;)
Znam da najveću ulogu ovde ima administrator servera na kojem se hostuje sajt, ali šta bi webmaster morao da uradi po pitanju sigurnosti ako je na sajtu:
1) samo HTML? [bez PHP-a, CMS-a i sl.]
2) sajt sa PHP-om, MySql-om, CMS-om, forumom [osim sto mora da napiše dobar kood i redovno update-uje CMS ili forum]
Ono sto ja imam u planu da uradim po tom pitanju je:
- da pomocu ".htacess" apache-ovog fajla postavim restrikcije na odredjene fajlove i foldere
- da podesim "chmod" za iste
- da sve lozinke stavim u zaseban [forbidden] folder, sto znaci da bi samo skripte imale pristup tim fajlovima
Da li je to dovoljno?
|
[ WiZaRd1015 @ 07.10.2005. 10:32 ] @
Ako nemaš fiksni IP, i sajt nije na tvom računaru, onda, verujem da je dosta toga, ako ne i sve na administratoru tvog hosting paketa! Njegov je kompjuter, on treba da prati razvoj pojedinih sajtova i da svojevremeno krpi rupe, podešava firewall, proverava kod koji je u opticaju na tom sistemu, da traži bube... Ne ulazim u detalje, a i ovo sam rekao šturo, i to dosta ali budući da niko dosad nije.. Takođe zavisi i dosta toga i od tebe samog.
[ LyoShi @ 14.10.2005. 17:08 ] @
Hvala na odgovoru...
Po svemu sudeći, izgleda da mali broj ljudi posećuje ovaj deo foruma...
Jel ima još nekoga ko bi dao svoj sud o ovome???
[ nkrgovic @ 22.10.2005. 16:35 ] @
Za plain HTML sajt to sto si ti napisao je "fino" uraditi, ali da - to je sve sto ima smisla. To ti je najbezbednije moguce, sve je ne adminu servera.
Sto se tice neke dinamike tu postoji dosta komplikacija. Ako koristis gotov CMS i gotov forum onda njihovim autorima delegiras odgovornost za bezbednost njihovog koda. Problem je da ti ne znas koliko je to dobro odradjeno, i mozes samo redovno da pratis i update-ujes.
Problem sa tvojim kodom, i prednost gotovog resenja je to sto tvom kodu niko nece raditi audit, tj. niko nece sesti i gledati ima li ociglednih problema. I jedan i drugi pristup imaju mana i prednosti, sve zavisi koliko si dobar u startu, koliko si spreman da ucis, i koliko imas vremena i novca da ulozis u celu pricu :) .
Ugrubo - najcesci i najveci tehnicki problemi php/mysql sajtova su sql injection kao posledica lose napisanog koda, i sigurnosni problemi vezani za samu platformu ispod - sto uostalom vazi za skoro svaku dinamiku sa bazom ispod.
Drugi, odvojen problem, je fizicka bezbednost pristupa. Webmaster koji na compu ima spyware, rootkit, ili koji isti password koristi na n mesta. Cak je i isti nalog problematican ako nemas pristup masini i dobru saradnju sa adminom jer potencijalnom napadacu olaksava brute force napad.
Summary : Ako pravis hobby sajt, cija je vrednost jako mala - samo redovno odrzavaj svoj desktop i update-uj kod novim pecevima. Uz malo paznje da onemogucis direktne SQL injection napade bezbedan si u smislu da se nikome ne isplati da te busi :) . Jednostavno busenje kosta dosta, a ako sajt ne vredi puno male su sanse da ce to neko da odradi. Naravno - radi redovan i celovit bekap.
Ako pravis nesto profi, sto ima za cilj da drzi informacije koje imaju trzisnu vrednost, ili se smatraju poverljivim razmisli da angazujes profesionalnog konsultanta.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.