phpRS help fórum : phpRS Fórum
Hlavní diskuzní phpRS fórum. Najdete zde odpovědi na otázky týkající se provozu a instalace phpRS systému.
phpRS - redakční a informační systém
zabezpečení levelů článků
Zaslán uživatelem/kou: martan (IP adresa zaznamenána)
Datum: 2009-02-01, 22:24

Zdravím, chtěl bych poprosit o názor na problém, který se týká zabezpečení levelů s články. Zkusím to popsat co nejpřesněji.
Na webu je sekce "Download" do které mají přístup je registrovaní čtenáři s příslušným oprávněním.
O víkendu přišel mail od nějakého týpka, který žádá přístup do sekce, jinak se tam probourá tak jako tak.

Citace emailu:
Citace:
"Samozřejmě chápu vše co jste napsal. A respektuji to. Avšak, musím vás upozornit na jednu drobnou leč podstatnou věc, programuji již nějakou dobu a není problém zkonstruovat program na změnu masky IP adresy tím pádem stálého přístupu do sekce download. Ujiš´tuji vás že jsem tento program nijak nezneužil a jen jsem vyzkoušel jesli funguje i na vašich stránkách ... navíc při použití jiného prohlížeče opera .. firefox ... explorer, je opět možná registrace do této sekce. Proto vám doporučuji (pokud máte opravdu zájem na na neprostupnosti download sekce) prodiskutovat toto se správcem webu.
S pozdravem Michal Ducháč."


Já mám pocit, že ten člověk neví o čem mluví, protože přístup je přeci ověřován pomocí uživatelského jména a hesla proti databázi, tj. není vázán na IP adresu. To samé platí o registraci, samozřejmě, že se lze zaregistrovat víckrát.

Zajimal by mě názor někoho erudovanějšího. Popřípadě i za nějaké rady, jak vylepšit bezpečnost.
Díky moc.

Re: zabezpečení levelů článků
Zaslán uživatelem/kou: JanVar (IP adresa zaznamenána)
Datum: 2009-02-01, 23:26

doporučuji zapnou logování. Jak, to tu popsal pa3k.
No a když se panáček probourá, pak pěkně podat žalobu na PČR, adresu budeš mít v logu. A doporučuji také uchovat onen výhružný e-mail jako další možný důkaz.

p.s. bezpečnost je relevantní, takových pokusů mám na svém serveru stovky. Je to jen o tom, kdo déle vydrží :-)

-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

Re: zabezpečení levelů článků
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2009-02-02, 10:55

Jediný problém v zabezpečení sekcie download je ten, že ak raz niekto stiahne súbor, zistí jeho priame umiestnenie na serveri a od toho momentu môže pristupovať k súboru priamym linkom. Bez autentifikácie sa však k priamej linke nedostane. Niekde som tu zverejnil aj návod ako pri downloade skryť skutočnú adresu súboru... [http://www.phprs.net/forum/read.php?32,26349] pre totálne zabezpečenie by som poslal v HTTP hlavičke miesto skutočného mena súboru niečo iné:

header("Content-Disposition: attachment; filename=\"".$pole_soubor["furl"]."\"");

Re: zabezpečení levelů článků
Zaslán uživatelem/kou: zdenekh (IP adresa zaznamenána)
Datum: 2009-02-02, 11:59

A ještě jedna věc, co by se mohla dělat, pokud chcete utajit soubory ke stažení. Nepoužívat defaultní adresář storage, ale vytvořit si svůj vlastní (a upravit samozřejmě v configu). Některé hostingy při zadání www.example.com/storage/ vypíšou jeho obsah. Většinou to bývá ošetřené a nepustí to, ale třeba ic.cz to dělá.

T. O. Severka Děčín | New r.č. | Old Good Tom | Jinak už v tom nefrčím... :-)

Re: zabezpečení levelů článků
Zaslán uživatelem/kou: martan (IP adresa zaznamenána)
Datum: 2009-02-07, 10:56

Díky za všechny odpovědi, něco s tím zkusím vymyslet.



Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.