Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 13:16  postituse pealkiri:  PHP turvalisus - kas seda üldse ongi???  

Tervitus, leidsin kena blogi

Alternatiivsed meetodid php inclusion rünneteks

ja lingin siia. Äkki on huvitav lugemine.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 07.03.2009, 13:22  postituse pealkiri:  (teema puudub)  

php on ikka üldiselt nii turvaline kui turvaliseks sa ise koodi kirjutad..
öelda selle artikli põhjal, et php-l nagu peaks turvalisus üldse puuduma, see tundub laimamisena.. igasugune väliste failide ja muu jama include'imine on ikka otseselt koodija teha ja ka tema vastutusel..

_________________
Image Image Image

illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 07.03.2009, 15:24  postituse pealkiri:  (teema puudub)  

See on kokkuhoid kust ei tohiks kokku hoida. Ehk võetakse mingi näljane tudeng (andku te kõik nüüd mulle andeks) kes kirjutab vigase koodi vähese raha eest, ilma, et kood reaalselt mingit includimist või submittimist või updatemist kontrolliks, kõik mis vormist tuleb ka täitmisele läheb. Ülemused rõõmsad ja natuke pahased teiste firmade peale, et miks nood nii palju raha küsivad...
Samas kui mingiaeg käib pauk ja lehel ilutsevad väljamaised tüdrukud, kellel riided ära röövitud siis ollakse pahased selle näljase tudengi peale

Selliseid lehti kus saad teha code injectionit on palju...
Php on täpselt nii turvaline kui tark (paranoiline) on programmeerija.


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 17:06  postituse pealkiri:  (teema puudub)  

ok, see ongi asi miks ma teistele saite teha ei taha....

edit

uus küsimus, kuidas te seda turvaks?

EDIT: url eemaldatud


//nüüd tuleb siia sõimu, et ära sellist saasta üldse kirjutagi....... eks?




Viimati muutis olavsu1 30.12.2009, 14:31; muudetud 2 korda
sadiini
Vana Pingviin
Vana Pingviin


Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
estonia.gif
postituspostitatud: 07.03.2009, 17:10  postituse pealkiri:  (teema puudub)  

Kood on täpselt nii turvaline, kui selle kirjutaja on ette näinud.

Loomulikult leidub Alati Keegi, kes sellest jagu saab.

Lukk pidi ju looma jaoks olema?

Küsimus polegi ehk selles. Äkki on küsimus selles, kui kiiresti vajalikud parandused sisse saab viia, et pool maailma ei pääseks Sinu õue peale majandama?


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 18:55  postituse pealkiri:  (teema puudub)  

kõik proovivad kangutada

aga soovitusi asja paremaks tegemiseks ei tule Smile

mida oligi arvata.

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 07.03.2009, 18:59  postituse pealkiri:  (teema puudub)  

ma arvan, et see foorum ei ole koht, kus arutada php turvalisuse üle, selleks on teised foorumid Wink

_________________
Image Image Image

sadiini
Vana Pingviin
Vana Pingviin


Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
estonia.gif
postituspostitatud: 07.03.2009, 19:30  postituse pealkiri:  (teema puudub)  

Mis sind kulla Sannu sunnib seda ütlema?

Kas turvalisus on vale teema?


sadiini
Vana Pingviin
Vana Pingviin


Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
estonia.gif
postituspostitatud: 07.03.2009, 19:34  postituse pealkiri:  (teema puudub)  

olavsu1 kirjutas:
kõik proovivad kangutada

aga soovitusi asja paremaks tegemiseks ei tule Smile

mida oligi arvata.

Ära sa arva, et php jääb ajalkukku selle tõttu, et kasutajad ei saa end kaitsta.

Kui Sa vähem kritiseeriksid ja rohkem lahendusi välja pakuksid, siis oleks seegi parem, kui kriitika ilma vigisemata.

Või kuidas?


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 07.03.2009, 19:37  postituse pealkiri:  (teema puudub)  

sadiini kirjutas:
Mis sind kulla Sannu sunnib seda ütlema?

Kas turvalisus on vale teema?


see foorum on mõeldud linuxile ja selle probleemidele ning rõõmudele

PHP-alaseid foorumeid on eestis küll ja veel, sellisest teemaarendusest oleks nendes tunduvalt enam abi..

_________________
Image Image Image

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 20:43  postituse pealkiri:  (teema puudub)  

sadiini kirjutas:
olavsu1 kirjutas:
kõik proovivad kangutada

aga soovitusi asja paremaks tegemiseks ei tule Smile

mida oligi arvata.

Ära sa arva, et php jääb ajalkukku selle tõttu, et kasutajad ei saa end kaitsta.

Kui Sa vähem kritiseeriksid ja rohkem lahendusi välja pakuksid, siis oleks seegi parem, kui kriitika ilma vigisemata.

Või kuidas?


oot, kas see on vaid neile kelle unenäod vastavas keeles kirjutatud? siis on ju mõttetu üritadagi.


sander85 kirjutas:
see foorum on mõeldud linuxile ja selle probleemidele ning rõõmudele

PHP-alaseid foorumeid on eestis küll ja veel, sellisest teemaarendusest oleks nendes tunduvalt enam abi..


ja sealt ei saa vastu hambaid? on küll jah neid kohti kuid neilt ei või küsida. tolerantsus puudub.


mil
Pingviini aktivist
Pingviini aktivist


Vanus: 37
Liitunud: 01.01.2008
Postitused: 111
Asukoht: Kose
Distributsioon: Hoolealustena kari buntusid
estonia.gif
postituspostitatud: 07.03.2009, 21:41  postituse pealkiri:  (teema puudub)  

kas mulle tundub, või on kogu eesti foorumimajandus natuke kasutajavaenulikuks muutunud? niikui veidi offtopikut või tiba foorumi teemast mööda, siis hakkavad tulema väga kurjad pilgud. eesti php foorumites ei julgeks ise küll ridagi postitada, kuna sealt saab sappi ilma suud lahti tegematagi.

ise leian, et pingul võiks küll üks progemise ala olla foormis, kus siis foorumist tuntud seltskonnaga tekkinud probleemi lahata - siin ju palju selliseid laia profiiliga lüpsja-keevitajaid (kuulun samuti seltskonda). Lubaks sellised teemad siis kasvõi kuskile "vaba teema" rubriiki

piisss ja päikest =)


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 21:58  postituse pealkiri:  (teema puudub)  

mil kirjutas:
kas mulle tundub, või on kogu eesti foorumimajandus natuke kasutajavaenulikuks muutunud? niikui veidi offtopikut või tiba foorumi teemast mööda, siis hakkavad tulema väga kurjad pilgud. eesti php foorumites ei julgeks ise küll ridagi postitada, kuna sealt saab sappi ilma suud lahti tegematagi.


mul on ka sellised kogemused. ilmselt tuleb see eestlase iseloomust. kunagi küsisin php foorumist midagi, sõimata sain ja bänniga ähvardati. tekib tunne, et kõike peab kohe sünnipäraselt väga hästi valdama.

nüüd tegin ühe saidikese http://n6ges.pri.ee/~olavsu1/ nagu oskasin ja avaldasin suure osa selle koodist. soovides teada saada selle võimalikke nõrkusi. mõned kangutavad küll. kuid soovitusi asja paremaks muutmiseks ei tule....

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 07.03.2009, 22:29  postituse pealkiri:  (teema puudub)  

see on seal üleval nii labane vorm, mis kõik sisestatu ringi konverdib, võimalik, et targemad teavad ka sellise vormi kohta mingit ründekohta, aga mulle silma ei hakanud, see on lihtsalt nii väike ja minimalistlik..

_________________
Image Image Image

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 07.03.2009, 22:37  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
see on seal üleval nii labane vorm, mis kõik sisestatu ringi konverdib, võimalik, et targemad teavad ka sellise vormi kohta mingit ründekohta, aga mulle silma ei hakanud, see on lihtsalt nii väike ja minimalistlik..


kõike ringi ei konverdita, ainult htmlspecialchars on kasutusel.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 07.03.2009, 23:32  postituse pealkiri:  (teema puudub)  

selle kohta ma küsiks ainult seda, et kas addslashes ja stripslashes poleks sama hea?

või mis moodi neid baasis hoitakse, kohe konverditult? sellisel juhul kas mitte ei mõju see baasi mahule?

_________________
Image Image Image

olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 08.03.2009, 00:00  postituse pealkiri:  (teema puudub)  

Tsitaat:
või mis moodi neid baasis hoitakse, kohe konverditult? sellisel juhul kas mitte ei mõju see baasi mahule?


jah, kohe peale htmlspecialchars'i ja stripslashes'i läheb andmebaasi andmetüüp on TEXT sealt tuleb otse ilma nõidusteta tagasi.

ei usu et sinna nüüd romaane kirjutama hakataks.


olavsu1


Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva
estonia.gif
postituspostitatud: 08.03.2009, 02:34  postituse pealkiri:  (teema puudub)  

ok tänaseks pood kinni. server manuaalselt välja lülitatud.

_________________
olen Troll ja ootan pingviin.org konto sulgemist.

illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 15.03.2009, 15:03  postituse pealkiri:  (teema puudub)  

Üks php koodijupi näide. Sitasti kirjutatud koodiga saad igasuguseid huvitavaid asju teha, antud juhul masina täiesti kooma tõmmata ja edasi ...
kogu mälu sõi ära ka. swapi




Viimati muutis illukas 16.03.2009, 22:12; muudetud 1 kord
johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 15.03.2009, 21:16  postituse pealkiri:  (teema puudub)  

Pole ise küll mingi php guru, et sellel teemal sõna võtta aga ei ole kuulnud nagu oleks php interpretaatorit reklaamitud kui turvalist. Samas kui java puhul öeldi kohe välja, et antud platvorm saab olema turvaline mis tähendab java vm -s olevat omadust mis kontrollib laaditavate klasside turvalisust. Kui kompilaator saabki hakkama pahatahtliku jne koodi kompileerimisega siis java programm ise käima ei lähe kuna vm kontrollib ennem koodi turvalisust.

Loomulikult saab tõlgitavate keelte puhul ka kontrollida koodi turvalisust kuna programmikood tõlgitakse masinakeelde vastava programmi poolt. Kuid kui java on kontrollitav Sun -i poolt siis kes peaks tegelama php tõlgiga ?

Ilmselt tõlgile mingite omaduste külge pookimine niisama lihtsalt ei õnnestu eriti kui see veel hakkab aeglustama php koodi ajamist.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group