| Autor |
Sõnum |
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
|
 |
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
php on ikka üldiselt nii turvaline kui turvaliseks sa ise koodi kirjutad..
öelda selle artikli põhjal, et php-l nagu peaks turvalisus üldse puuduma, see tundub laimamisena.. igasugune väliste failide ja muu jama include'imine on ikka otseselt koodija teha ja ka tema vastutusel..
|
|
|
|
_________________
  
|
|
|
  |
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
See on kokkuhoid kust ei tohiks kokku hoida. Ehk võetakse mingi näljane tudeng (andku te kõik nüüd mulle andeks) kes kirjutab vigase koodi vähese raha eest, ilma, et kood reaalselt mingit includimist või submittimist või updatemist kontrolliks, kõik mis vormist tuleb ka täitmisele läheb. Ülemused rõõmsad ja natuke pahased teiste firmade peale, et miks nood nii palju raha küsivad...
Samas kui mingiaeg käib pauk ja lehel ilutsevad väljamaised tüdrukud, kellel riided ära röövitud siis ollakse pahased selle näljase tudengi peale
Selliseid lehti kus saad teha code injectionit on palju...
Php on täpselt nii turvaline kui tark (paranoiline) on programmeerija.
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
ok, see ongi asi miks ma teistele saite teha ei taha....
edit
uus küsimus, kuidas te seda turvaks?
EDIT: url eemaldatud
//nüüd tuleb siia sõimu, et ära sellist saasta üldse kirjutagi....... eks?
|
|
|
|
Viimati muutis olavsu1 30.12.2009, 14:31; muudetud 2 korda
|
|
|
|
sadiini
Vana Pingviin
Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
|
|
Kood on täpselt nii turvaline, kui selle kirjutaja on ette näinud.
Loomulikult leidub Alati Keegi, kes sellest jagu saab.
Lukk pidi ju looma jaoks olema?
Küsimus polegi ehk selles. Äkki on küsimus selles, kui kiiresti vajalikud parandused sisse saab viia, et pool maailma ei pääseks Sinu õue peale majandama?
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
kõik proovivad kangutada
aga soovitusi asja paremaks tegemiseks ei tule 
mida oligi arvata.
|
|
|
|
_________________
olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
ma arvan, et see foorum ei ole koht, kus arutada php turvalisuse üle, selleks on teised foorumid 
|
|
|
|
_________________
|
|
|
|
sadiini
Vana Pingviin
Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
|
|
Mis sind kulla Sannu sunnib seda ütlema?
Kas turvalisus on vale teema?
|
|
|
|
|
|
|
|
sadiini
Vana Pingviin
Vanus: 53
Liitunud: 28.12.2007
Postitused: 1456
Asukoht: Otsige mind kolmandalt planeedilt...
Distributsioon: Lubuntu, Bodhi, Feren OS
|
|
| olavsu1 kirjutas: | kõik proovivad kangutada
aga soovitusi asja paremaks tegemiseks ei tule
mida oligi arvata. |
Ära sa arva, et php jääb ajalkukku selle tõttu, et kasutajad ei saa end kaitsta.
Kui Sa vähem kritiseeriksid ja rohkem lahendusi välja pakuksid, siis oleks seegi parem, kui kriitika ilma vigisemata.
Või kuidas?
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| sadiini kirjutas: | | olavsu1 kirjutas: | kõik proovivad kangutada
aga soovitusi asja paremaks tegemiseks ei tule
mida oligi arvata. |
Ära sa arva, et php jääb ajalkukku selle tõttu, et kasutajad ei saa end kaitsta.
Kui Sa vähem kritiseeriksid ja rohkem lahendusi välja pakuksid, siis oleks seegi parem, kui kriitika ilma vigisemata.
Või kuidas? |
oot, kas see on vaid neile kelle unenäod vastavas keeles kirjutatud? siis on ju mõttetu üritadagi.
| sander85 kirjutas: | | see foorum on mõeldud linuxile ja selle probleemidele ning rõõmudele
PHP-alaseid foorumeid on eestis küll ja veel, sellisest teemaarendusest oleks nendes tunduvalt enam abi..
|
ja sealt ei saa vastu hambaid? on küll jah neid kohti kuid neilt ei või küsida. tolerantsus puudub.
|
|
|
|
|
|
|
|
mil
Pingviini aktivist
Vanus: 37
Liitunud: 01.01.2008
Postitused: 111
Asukoht: Kose
Distributsioon: Hoolealustena kari buntusid
|
|
kas mulle tundub, või on kogu eesti foorumimajandus natuke kasutajavaenulikuks muutunud? niikui veidi offtopikut või tiba foorumi teemast mööda, siis hakkavad tulema väga kurjad pilgud. eesti php foorumites ei julgeks ise küll ridagi postitada, kuna sealt saab sappi ilma suud lahti tegematagi.
ise leian, et pingul võiks küll üks progemise ala olla foormis, kus siis foorumist tuntud seltskonnaga tekkinud probleemi lahata - siin ju palju selliseid laia profiiliga lüpsja-keevitajaid (kuulun samuti seltskonda). Lubaks sellised teemad siis kasvõi kuskile "vaba teema" rubriiki
piisss ja päikest =)
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| mil kirjutas: | | kas mulle tundub, või on kogu eesti foorumimajandus natuke kasutajavaenulikuks muutunud? niikui veidi offtopikut või tiba foorumi teemast mööda, siis hakkavad tulema väga kurjad pilgud. eesti php foorumites ei julgeks ise küll ridagi postitada, kuna sealt saab sappi ilma suud lahti tegematagi. |
mul on ka sellised kogemused. ilmselt tuleb see eestlase iseloomust. kunagi küsisin php foorumist midagi, sõimata sain ja bänniga ähvardati. tekib tunne, et kõike peab kohe sünnipäraselt väga hästi valdama.
nüüd tegin ühe saidikese http://n6ges.pri.ee/~olavsu1/ nagu oskasin ja avaldasin suure osa selle koodist. soovides teada saada selle võimalikke nõrkusi. mõned kangutavad küll. kuid soovitusi asja paremaks muutmiseks ei tule....
|
|
|
|
_________________
olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| see on seal üleval nii labane vorm, mis kõik sisestatu ringi konverdib, võimalik, et targemad teavad ka sellise vormi kohta mingit ründekohta, aga mulle silma ei hakanud, see on lihtsalt nii väike ja minimalistlik..
|
|
|
|
_________________
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| sander85 kirjutas: | | see on seal üleval nii labane vorm, mis kõik sisestatu ringi konverdib, võimalik, et targemad teavad ka sellise vormi kohta mingit ründekohta, aga mulle silma ei hakanud, see on lihtsalt nii väike ja minimalistlik.. |
kõike ringi ei konverdita, ainult htmlspecialchars on kasutusel.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
selle kohta ma küsiks ainult seda, et kas addslashes ja stripslashes poleks sama hea?
või mis moodi neid baasis hoitakse, kohe konverditult? sellisel juhul kas mitte ei mõju see baasi mahule?
|
|
|
|
_________________
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| Tsitaat: | | või mis moodi neid baasis hoitakse, kohe konverditult? sellisel juhul kas mitte ei mõju see baasi mahule? |
jah, kohe peale htmlspecialchars'i ja stripslashes'i läheb andmebaasi andmetüüp on TEXT sealt tuleb otse ilma nõidusteta tagasi.
ei usu et sinna nüüd romaane kirjutama hakataks.
|
|
|
|
|
|
|
|
olavsu1
Vana Pingviin
Vanus: 48
Liitunud: 01.12.2006
Postitused: 923
Distributsioon: ubuntu, mandriva
|
|
| ok tänaseks pood kinni. server manuaalselt välja lülitatud.
|
|
|
|
_________________
olen Troll ja ootan pingviin.org konto sulgemist.
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
Üks php koodijupi näide. Sitasti kirjutatud koodiga saad igasuguseid huvitavaid asju teha, antud juhul masina täiesti kooma tõmmata ja edasi ...
kogu mälu sõi ära ka. swapi
|
|
|
|
Viimati muutis illukas 16.03.2009, 22:12; muudetud 1 kord
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Pole ise küll mingi php guru, et sellel teemal sõna võtta aga ei ole kuulnud nagu oleks php interpretaatorit reklaamitud kui turvalist. Samas kui java puhul öeldi kohe välja, et antud platvorm saab olema turvaline mis tähendab java vm -s olevat omadust mis kontrollib laaditavate klasside turvalisust. Kui kompilaator saabki hakkama pahatahtliku jne koodi kompileerimisega siis java programm ise käima ei lähe kuna vm kontrollib ennem koodi turvalisust.
Loomulikult saab tõlgitavate keelte puhul ka kontrollida koodi turvalisust kuna programmikood tõlgitakse masinakeelde vastava programmi poolt. Kuid kui java on kontrollitav Sun -i poolt siis kes peaks tegelama php tõlgiga ?
Ilmselt tõlgile mingite omaduste külge pookimine niisama lihtsalt ei õnnestu eriti kui see veel hakkab aeglustama php koodi ajamist.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
 |
|
|
