Добро пожаловать, Гость!
:: + Добавить ссылку через биллинг
:: + Добавить ссылку анонимно
Дешёвый Хостинг Сайтов
Мобильная чат рулетка онлайн
Дешёвый Хостинг Сайтов
Мобильная чат рулетка онлайн
Тема закрыта для обсуждения
Права на запись - Страница 0
Архив закрытых тем | Права на запись
Искатель
:
Ребят вот я заметил что многие оставляют права 777 на папки не содержащие файла .htaccess сразу скажу что пустые файлы микроконфигурации не помогут и права 755 на многих школо хостингах тоже вас не защитят...
У новичков сходу Возникает вопрос чем плохи эти права? Расскажу; существуют способы загрузки файлов на удаленные сервера многие современные сайты этим пользуются чтобы держать огромные загруз центры тоесть сайт стоит на одном сервере, а файлы обмена хранятся на другом более дешевом или вообще бесплатном хостинге, так вот загрузка идет через получается левый сайт, тоесть допустимые для загрузки расширения выбирает админ стороннего сайта, а что если он разрешит загрузку php в вашу папку так не разумно допускающую запись и не содержащую запрета через розетку? Ваш сайт скорее всего будет взломан или если есть что взять будут слиты платные модули... Каюсь сам таким образом сливал модули но это в прошлом... Теперь же открываю вам секрет который впринципе понятен и прост следите за своей безопасностью и если при любых правах в папку можно залить файлы требуйте у админа хостинга исправить этот баг или запрещайте отображения через файлы микроконфигурации :-) у меня всё. Спасибо за внимание
скиталец
Права на запись
8 Апр 2014Ребят вот я заметил что многие оставляют права 777 на папки не содержащие файла .htaccess сразу скажу что пустые файлы микроконфигурации не помогут и права 755 на многих школо хостингах тоже вас не защитят...
У новичков сходу Возникает вопрос чем плохи эти права? Расскажу; существуют способы загрузки файлов на удаленные сервера многие современные сайты этим пользуются чтобы держать огромные загруз центры тоесть сайт стоит на одном сервере, а файлы обмена хранятся на другом более дешевом или вообще бесплатном хостинге, так вот загрузка идет через получается левый сайт, тоесть допустимые для загрузки расширения выбирает админ стороннего сайта, а что если он разрешит загрузку php в вашу папку так не разумно допускающую запись и не содержащую запрета через розетку? Ваш сайт скорее всего будет взломан или если есть что взять будут слиты платные модули... Каюсь сам таким образом сливал модули но это в прошлом... Теперь же открываю вам секрет который впринципе понятен и прост следите за своей безопасностью и если при любых правах в папку можно залить файлы требуйте у админа хостинга исправить этот баг или запрещайте отображения через файлы микроконфигурации :-) у меня всё. Спасибо за внимание
скиталец
Тема закрыта Cистема
Комментарии:
shuriken 27 Окт 2013
Юрий (27 Окт 2013):
на дат файлы какие права должны быть?
Юрий, смотря какой сервер в основном 644 640 главное чтобы при прямом пути на файл ты не видел код на папку дат тоже поставь права такие чтобы не мог туда ничего залить с сайта можеш даже специальный файл создать который будет тестировать загрузки в сетевые папки и конечно создай файлы htaccess во всех "пустых" папках дабы окончательно отрезать хакеру возможность просматривать файлы на вашем сервере на дат файлы какие права должны быть?
shuriken 27 Окт 2013
А еще один отступ от темы допущу да простят меня админы не в коем случае нельзя оставлять прав допускающих запись на папку dat этим вы открываете хацкеру безпрепятственный путь к твоей базе данных файлы формата dat легко импортируются через фтп менеджеры, а ведь в них хранятся открытые ничем не закодированные ключи к вашей базе, в которой есть ваши пароли современные декодеры способны перевести мд5 за несколько минут, а значит есть доступ к вашей странице наверняка каждый из вас хранит в админке свои майл или даже прописал его в анкете, и мало кто из вас использует разные пароли на почту и на акк своего сайта... Можите спорить но это проверенный факт. А если хакер попал на вашу почту считайте смело что вы лишились и домена и места на хостинге потому что пароли приходят именно туда, а не удаленные ерорлоги хранят ваш логин на панели... Всё это и дает хакеру возможность жить на ваших сайтах.
А еще один отступ от темы допущу да простят меня админы не в коем случае нельзя оставлять прав допускающих запись на папку dat этим вы открываете хацкеру безпрепятственный путь к твоей базе данных файлы формата dat легко импортируются через фтп менеджеры, а ведь в них хранятся открытые ничем не закодированные ключи к вашей базе, в которой есть ваши пароли современные декодеры способны перевести мд5 за несколько минут, а значит есть доступ к вашей странице наверняка каждый из вас хранит в админке свои майл или даже прописал его в анкете, и мало кто из вас использует разные пароли на почту и на акк своего сайта... Можите спорить но это проверенный факт. А если хакер попал на вашу почту считайте смело что вы лишились и домена и места на хостинге потому что пароли приходят именно туда, а не удаленные ерорлоги хранят ваш логин на панели... Всё это и дает хакеру возможность жить на ваших сайтах.