Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 17

Temat: Proszę o pomoc przy mojej stronie.

  1. #1
    Avatar dbname
    dbname jest offline Newbie... :)
    Zarejestrowany
    Aug 2009
    Skąd
    krakow
    Postów
    4

    Post Proszę o pomoc przy mojej stronie.

    Witam!

    Od jakiegoś czasu staram się stworzyć stronę o inkach (www.inkowie.com). Niestety nie mam bladego pojęcia jak ją zabezpieczyć. Do dodawania nowych artykułów użyłem gotowego skryptu PsNews.
    Bardzo zależy mi na bezpieczeństwie danych, które będą się tam znajdowały więc proszę Was o pomoc przy jej tworzeniu. Zezwalam na wszelkie testy z wyjątkiem kasowania tego co już się tam znajduje

    serwer: boo.pl
    skrypt: PsNews
    forum: vanilla

    ps. Inkowie.com powstaje w celu szerzenia sprawdzonych i rzetelnych informacji dostępnych bezpłatnie i bez uciążliwych form reklamy.

    pozdrawiam i czekam na pomoc
    --
    dbname
    Inkowie.com
    Darek N.

  2. #2
    Zarejestrowany
    Feb 2008
    Skąd
    Tu i tam
    Postów
    147

    Domyślnie

    Opierając stronę o gotowe CMSy i nie znając języka w jakim są tworzone nie będziesz potrafił ich zabezpieczyć. Możesz jedynie aktualizować wersję skryptu, aby wyeliminować błędy, które już zostały wykryte i poprawione przez autora. Takie skrypty powinny być wstępnie zabezpieczone przed atakami, więc nie masz się co martwić Jak już mówiłem aktualizuj wersję no i dbaj o hasła oraz uważaj, żeby Cię ktoś od całkiem innej strony nie zaszedł np. Socjotechnika, Trojaniki, Key-loggery itp.

    P.S Byłbym zapomniał, no i rób częste backupy to skutecznie uniemożliwi utratę danych
    Ostatnio edytowane przez ShutDown : 08-20-2009 - 00:44

  3. #3
    Avatar dbname
    dbname jest offline Newbie... :)
    Zarejestrowany
    Aug 2009
    Skąd
    krakow
    Postów
    4

    Domyślnie

    No właśnie jest problem bo to nie jest gotowy CMS tylko skrypt, który miał za zadanie jedynie dodawać newsy na strone. Ja go przerobiłem w taki sposób, że dodaje on artykuły. Głównym problemem jest to że nie wiem czy można zaufać temu kawałkowi kodu

    pod adresem http://n00b.ovh.org/psnews11.zip można pobrać ten skrypt

    ps. backupy jak najbardziej
    Ostatnio edytowane przez dbname : 08-20-2009 - 12:10

  4. #4
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    plik: news/admin.php
    Kod php:
    <?php
    $body 
    stripslashes($body);
    $body preg_replace("'\n|\r\n|\r'si""<br>"$body);
    $body str_replace("|""\\|"$body);

    $title stripslashes($title);
    $title preg_replace("'\n|\r\n|\r'si"""$title);
    $title str_replace("|""\\|"$title);
    ?>
    To nie wystarczy.
    CRLF chyba jest załatane, ale brakuje magic quotes i innych takich.

    bo to nie jest gotowy CMS tylko skrypt
    ShutDownowi nie chciało się wymieniać wszystkich typów software. Idea jest taka, że jeśli korzystasz z publicznie udostępnionego kodu, który nie jest regularnie rozwijany - jesteś zagrożony.

  5. #5
    Avatar dbname
    dbname jest offline Newbie... :)
    Zarejestrowany
    Aug 2009
    Skąd
    krakow
    Postów
    4

    Domyślnie

    Czyli jednym słowem zmienić na jakiegoś bezpiecznego CMS'a i aktualizować + backupy, tak?
    Pytanie tylko, który wybrać

  6. #6
    Zarejestrowany
    Feb 2008
    Skąd
    Tu i tam
    Postów
    147

    Domyślnie

    Dobre pytanie, który CMS jest najbardziej bezpieczny? Ten mniej znany z jednej strony jest bezpieczniejszy, bo mało kto w nim szuka dziur itp. ale jednak jest spora szansa, że dziury zawiera. Czy ten popularny, który jest często aktualizowany i łatany ale jednak jego kod ma większość ludzi na dysku?... Wydaje misiem, że najlepszą opcją będzie jakiś płatny CMS no ale jednak tu trzeba płacić.

    Mam jeszcze inną propozycję, napisz sobie sam
    Nie wiem jak bardzo jesteś obeznany w php,html,css ale widzę po stronie że wystarczy Ci pobieranie rekordów z bazy MySQL i dodawanie to będą newsy. Reszta to pod strony, które możesz po prostu includować (dołączać do strony ) za pomocą php. To będzie chyba najbezpieczniejsze rozwiązanie W razie czego mogę Ci pomóc, tylko nie licz na gotowce

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie wiem czy bedzie najbezpieczniejsze bo wymaga sporej wiedzy i doswiadczenia... i nie daje ZADNYCH gwarancji :-)

    Skoro Ci ktorzy pisza CMSy za ktore placisz i wiedza co robia bo z tego zyja... i oni robia bledy ktore koncza sie exploitami i podmienionymi stroami, to ja sie zastanawiam jaka jest szansa ze sam napiszesz cos lepszego?

    Najlepszy CMS jaki widzialem to taki, ktory generuje content off-line np na Twoim kompie w domu, wklada calosc w szablony itd. i generuje pliki HTML, zapisuje na dysku... a Ty pozniej wrzucasz to na serwer jako statyczne pliki, zadnego PHP czy innych jezykow. To jest rozwiazanie i w tym szalenstwie na prawde jest metoda!
    Jak chcesz dodac np ksiege gosci to wtedy masz 1 element ktory musisz zabezpieczac a nie caly CMS... Po prostu mniej miejsc gdzie cos moze sie przytrafic.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Feb 2008
    Skąd
    Tu i tam
    Postów
    147

    Domyślnie

    Zapomniałem wytłumaczyć dlaczego bezpieczniejszym rozwiązaniem jest pisanie własnego skryptu, już z tym śpieszę. Cały CMS jest wielki, ma sporo różnych rzeczy, które nie będą wykorzystywane, jakieś rozbudowane statystki, panel admina itd. A stronka z tego co zauważyłem potrzebuje, tylko systemu newsów i to nie koniecznie rozbudowanego. Reszta to tylko html i wystarczy dołączać pod strony. Dlatego warto napisać prościutki skrypcik, który doda news i wyświetli więc on będzie bezpieczny. Jeżeli coś jest proste, to dużo prościej jest to zabezpieczyć. Głównie trzeba zabezpieczyć dodawanie newsa, wyświetlanie jest nie groźne chyba że user będzie mógł decydować jakie newsy będą mu pokazane (np. opcja szukaj). Jest jeszcze drugi plus, nikt nie będzie widział kodu co też poprawia bezpieczeństwo, bo trudniej jest zidentyfikować dziury.

    Można też zrezygnować z php i ręcznie doklejać newsy. Zwykły html jest bowiem najbezpieczniejszym rozwiązaniem

    TQM, ten CMS generujący stronę off-line brzmi ciekawie, ale czy nie lepiej samemu wprowadzić modyfikację w htmlu? To taki front page ;p
    Ostatnio edytowane przez ShutDown : 08-21-2009 - 13:35

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie lepiej... bo jesli masz cos co generuje Ci statyczny HTML to moze generowac RSSy, moze generowac mase innych rzeczy i dostajesz statyczny HTML i inne pliki ktore wrzucasz na serwer i po sprawie.

    Jesli tylko jest jakis kod po stronie serwera to mozna go nieco "pomeczyc", poza tym serwowanie statycznych plikow jest najmniej kosztowne i najwydajniejsze. Porownaj blog np w WP zrobiony z blogiem ktory generuje statyczny HTML...

    WP dla kazdego wejscia wykonuje ponad 30 zapytan do bazy z tego co pamietam tylko po to aby strone glowna wyswietlic. Sesje nie sa permanentne najczesciej tylko nowe polaczenie do bazy leci co klikniecie... a teraz ja daje Ci statyczny HTML - koszt calej operacji to czas odczytu z dysku w wrzucenia w socket co systemy robia bardzo ladnie. Mow co chcesz, ale statycznego HTMLa nie pobije nic ani pod wzgledem predkosci ani pod wzgledem bezpieczenstwa :-)

    BTW. Majac statyczny HTML mozesz zrobic ksiazke gosci bardzo latwo w np PHP i wtedy jest to jedyny element ktory mozna atakowac a nie calosc. Im system wiekszy i bardziej skomplikowany tym wieksza szansa ze cos padnie albo ktos w tym pomoze.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  10. #10
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    Hymm... mnie generowanie HTML wcale nie przekonuje...
    Nie widzialem tego CMS'a - TQM to ten co wspominałeś jakieś 2 years ago ?
    Daj nazwę jeśli możesz...

    Dlaczego mnie nie przekonuje?
    1) Nie widzę wygody takiego rozwiązania...
    2) Jak ze zgodnością? Będzie działać w każdej przegladarce na każdym systemie ? Jak z SEO ? Jak z wydajnością ? Wogole jak to działa ? Podstawia pod szablony ? Czyżby to nie to samo co dobrze napisany kod w PHP z (lub bez) jakiegoś systemu szablonów/Frameworka? Ile czasu zaoszczędzę (wartość w microsekundach?)

    Gdzie miejsce na nowe technologie?
    Z takim podejściem cofniemy sie do SGML'a - nie lepiej wykorzystywać nowe technologie a jeśli pojawiają się problemy z pezpieczeństwem to je niwelować ?
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Proszę o pomoc...
    By Pablo19roofi in forum Wirusy/Konie trojańskie
    Odpowiedzi: 16
    Autor: 02-18-2009, 21:45
  2. Proszę o pomoc
    By luzikx in forum Hacking
    Odpowiedzi: 5
    Autor: 07-05-2008, 09:42
  3. Proszę o pomoc
    By men01 in forum Hacking
    Odpowiedzi: 6
    Autor: 04-17-2007, 18:37
  4. Proszę o pomoc
    By eryk in forum Linux
    Odpowiedzi: 6
    Autor: 03-11-2007, 21:01
  5. Proszę o pomoc
    By 1w1 in forum Wardriving
    Odpowiedzi: 8
    Autor: 12-11-2006, 09:05

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj