Názory k článku Nebezpečné webhostingy III
-
- To, že zkopírování souboru funkcí
copyzmění vlastníka souboru, nijak neovlivňuje funkčnost direktivyopen_basedir. - To, že funkce
tempnampřidává k prefixu souboru náhodné znaky, není motivováno změnou koncovky, ale zajištěním unikátnosti názvu souboru. - Těžko říct, co autor myslí obratem "PHP považuje za obrázek". Funkce
getimagesize, kterou má možná na mysli, každopádně s koncovkou souboru vůbec nepracuje a rozhoduje se výhradně na základě obsahu souboru.
Dne 21.10.2008 pořádám školení Bezpečnost PHP aplikací, kde se takových chyb nedopouštím. Tímto na něj autora srdečně zvu.
P.S. Tu zmínku o nebezpečnosti tečky jsem do PHP manuálu před čtyřmi lety napsal já.
- To, že zkopírování souboru funkcí
-
1. Já to tam tedy zřetelně vidím: "některé PHP funkce lze donutit k tomu, aby pracovaly v prostoru jiného uživatele, a to i přesto ... že to direktiva open_basedir výslovně zakazuje".
2. Můžete tedy to bezpečnostní riziko rozvést? Funkce tempnam() dovoluje vytvořit soubor s názvem obsahujícím .php. Ale co z toho, když např. pomocí fopen() lze vytvořit soubor s libovolným názvem?
3. Funkce getimagesize() se rozhoduje podle obsahu souboru a ne podle jeho názvu. Před tím, než něco napíšete, byste si měl ověřit fakta - buď pohledem do zdrojových kódů PHP nebo alespoň pouhým vyzkoušením <?php getimagesize("obrazek"); ?>, které pochopitelně vrátí hodnoty na základě obsahu souboru.
Nesnažte se nedostatek znalostí dohánět arogancí. -
anonymní
Tak ja bych si to dovolil shrnout.
1. dil: Prvni dil byl prohlasen autorem jako "teoreticky". To je ponekud ironicke, ponevadz teorie v clanku opravdu mnoho nenajdeme a autor si zrejme plete terminy "teorie" a "uvodni omacka"... coz ale neni takove prekvapeni, ponevadz jak se ukazuje v clancich, nejsou to jedine terminy ktere si autor plete.
Dozvidame se zde, ze je nutne dbat u webhostingu na bezpecnost a ze prolomeni bezpecnosti muze mit neprijemne dusledky. Dalsi informaci je, ze i pri dobre zajistene bezpecnosti na urovni serveru mohou byt vyuzity chyby ve webovych aplikacich jako takovych. Posledni informace, kterou se ve clanku dozvidame je, ze autor ma kamarada a tento kamarad jmenoval dva "nahodne" hostingy (s velkou pravdepodobnosti, ze jde o garazovky) kde autor tvrdi, ze se dostal snadno k datum behem nekolika minut. Toto je ilustrovano malebnym obrazkem zmeny ceny produktu v MySQL databazi.
Toto vse se dozvidame na deviti pomerne rozlehlych odstavcich.
Shrnuti: Self-congratulatory yap ktery by se dal shrnout (a mel by se shrnout) do jedineho odstavce.2. dil: Druhy dil ma dle autora nabidnout jiz konkretnejsi pohled na problematiku. V uvodu se dozvidame, ze neni principialne rozdil v prubehu utoku a penetracnich testu (coz je pomerne prekvapive, kdyz vezme clovek v uvahu, ze pri utoku se clovek snazi proniknout bezpecnosti dane aplikace... narozdil od penetracnich testu, kdy se clovek snazi proniknout bezpecnosti dane aplikace).
Dale se dozvidame, ze k tomu aby clovek mohl uspesne utoky provest musi byt uzivatelem daneho webhostingu, coz je samozrejme pravdou v tom nejsirsim hledisku. S prekvapenim zjistujeme, ze autor zna pouze nasazeni pres CGI nebo pres mod_php, ze vyzaduje nejnovejsi verzi Linuxoveho jadra a zrejme nezna moznosti backportovani oprav. Clanek nas seznamuje s tim, ze vystup funkce phpinfo() dava komplexni prehled o nastaveni PHP na webhostingu.
V clanku je take obsazena komparativni analyza ceny beznych komodit.
Shrnuti: Odbornejsi publikum by se tomuto clanku vysmalo (a ostatne tak ucinilo v diskuzi). Pro laicke publikum to budou poplasne zpravy, ponevadz autor se omezuje jen na konkretni pripady, konkretni nasazeni a nijak neakceptuje ani nenaznacuje v clanku rozmanitost technologii na tomto trhu.3. dil: Tretil dil jiz obsahuje konkretnejsi informace, ackoliv porad ze zcela omezene perspektivy. Dozvidame se o zakladnich konfiguracnich direktivach (neni na to v zaverecnem dile trochu pozde?), ale opet pouze pro konkretni pripady, konkretni nasazeni, ktere ani zdaleka nemaji obecnou platnost pro laickou verejnost, jak autor rad tvrdi.
Dozvidame se o nekolika utilitach automatizujicich zneuziti obvyklych chyb na obvyklem nasazeni. Neni to prilis velke prekvapeni -- ostatne je skoda, ze termin "script kiddie" odesel z bezneho povedomi. Dozvidame se o nekolika moznostech zlepseni bezpecnosti (Suhosin, mod_security), ale nedozvidame se nic o jejich nastaveni. Opet, neni to na zaverecny dil tridilne serie ponekud malo?
Shrnuti: Lepsi? Urcite. Dobre? V zadnem pripade.Celkem by se dalo rict, ze prvni dil "serialu" vyda obsahove tak maximalne za perex. Oznacovani jeho obsahu za "teoreticky" je naprosto smesne. Druhy a treti dil serialu, pomineme-li (rozsahle) obsahove nepresnosti vyda priblizne za jeden bezny clanek minus perex. Dozvidame se, ze webhostingy jsou vetsinou nebezpecne, ale bez jakychkoliv statistiky, prehledu nebo dukazu... coz pusobi dojmem levne "pusobive" poplasne zpravy.
Diskusi ke clankum snad ani netreba komentovat: arogantni a urazejici vypady v diskuzi predevsim u prvniho clanku logicky vyvolaly posmech a nevoli vsech ctenaru. U druheho clanku jiz po nejake dobe autor prestal v diskuzi reagovat a neprekvapilo by mne, kdyby proto, ze dostal od lupy durazne doporuceni se diskuze vyvarovat.
Jak si autor vysvetluje temer nulove mnozstvi kladnych reakci v diskuzi je zahadou.
Autor tohoto serialu v diskuzi popsal svuj profil. Je mu 21 let, ma jako stredni skolu vystudovanou obchodni akademii v rakousku, je nyni studentem vysoke skoly kterou oznacil jako "informatika/ekonomie" (zda se jedna o VSE nebo o VSMIE ci neco uplne jineho nevime).
Co se tyka svych profesnich zkusenosti, nema jedinou firmu kterou je ochoten predat jako referenci. Autor se zabyva vyvojem webovych aplikaci a penetracnimi testy. Nikdy nepracoval ve webhostingovem prumyslu. Nikdy nebyl zamestnancem a neni drzitelem zivnostenskeho opravneni.
Jako svoje dovednosti uvedl HTML, CSS, JS, PHP, MySQL pro profesionalni potrebu a C++ "pro vlastni potrebu". O jakemkoliv nizkourovnovem vyvoji ci o administraci serveru ma pouze povsechne povedomi, natolik nizke, ze si je dle vlastnich slov netroufa dat do zivotopisu. To je ponekud prekvapive vzhledem k tomu, ze si naopak troufa verejne psat clanky o bezpecnosti ktere se v dusledcich dotykaji vetsiho mnozstvi firem.
Co se tyka ostatnich aktivit, je autor spjat pod prezdivkou "Emkei" s komunitnim portalem http://soom.cz/ (ktery je nechvalne prosluly jako sbirka "security odborniku" bez obcanskeho prukazu), pro ktery take pise clanky. Portal soom.cz bezi na webhostingu jehoz bezpecnost (i vuci vagnim doporucenim v clanku) byla v ramci diskuze zpochybnena - autor toto vysvetluje ekonomickymi duvody.
-
- Popis naznačuje, že celý problém spočívá v tom, že vlastníkem zkopírovaného souboru se stane uživatel, pod kterým běží webový server. Pokud jste měl na mysli nějaký jiný útok, tak to není patrné a popis je zavádějící.
- Myslíte chybu opravenou před dvěma roky (PHP bug #38963)? Stále mi zůstává záhadou, proč jste si vybral zrovna tuto funkci, když funkcí náchylných k obejití open_basedir byla celá řada.
- Napsal jste, že "PHP považuje za obrázek i soubor s příponou .jfif" (to je omyl). Když jsem oponoval, že funkce getimagesize() s názvem souboru vůbec nepracuje, opáčil jste, že pracuje s MIME typem (to je druhý omyl). Kde ten MIME typ podle vás vezme? Nechcete se raději podívat do toho zdrojáku?
-
Jakub R. (neregistrovaný)Nehodlám se tu nyní zabývat tématem zmiňovaným v článku jako spíš jeho odborností a vaším (autorovým). Pokud ostatní nemáte o tento směr diskuze zájem, neztrácejte čas s dalším čtením mého příspěvku.
Začněmež tím, že se vám představím, považuji to za slušnost, tedy .. Jakub R., student University of Huddesfield (MSc International Business Management). Se zabezpečením serverů nemám nic společného, tedy zde nehodlám hrát odborníka na danou tématiku. Tímto se vyhneme debatám o odbornosti mé osoby.
Takže o čem že to chci vlastně psát. Lupa.cz je považována za kvalitní zdroj informací a člověk by tu hledal odborné články od kvalitních autorů. Nádodou jsem dostal link na diskuzi k tomuto článku a nestačím se divit, co může autor považovat za odborný článek.
Padlo tu něco o vašem vzdělání (http://is.mendelu.cz/lide/clovek.pl?id=30740;lang=cz). Netvrdím, že člověk bez vyšokošklského vzdělání by nemohl napsat kvalitní odborný článek, nicméně takovéto vzdělání autora článku na vážnosti nedodá. O to víc bije do očí fakt, že touto dobou byste se měl nacházet v druhém semestru studia (nicméně chyba může být na straně univerzitního webe, který třeba není aktualizovaný). Dále nehodlám snižovat kvality Mendelovy zemědělské a lesnické univerzity v Brně, nicméně pokud bych se chtěl považovat za odborníka, zvolil bych si poněkud jinou Univerzitu.
I když tu hodlám napadat odbornost článku, neříkám, že nemáte pravdu. Moje odbornost mi nedovoluje zpochybňovat vámi uvedená fakta, i když o nich na základě pročtení diskuze trochu pochybuji. Ano, omluvá vás fakt, že jse studentem prvního ročníku a tedy nemáte se psaním odborných prací patrně žádné velké zkušenosti. To ale neznamená, že článek který jste napsal, je možné za odborný považovat. V odbrném článku bych čekal například nějaké reference na jinou odbornou literatu, na základě čehož byste mohl upevnit své argumenty. Je samozřejmě možné čerpat i z praxe, jelikož se problémem zabezpečení serverů zabýváte pracovně. I v tomto případě ale neznamená, že cokoli co napíšete a týká se vaší práce bude odborným nebo alepsoń kvalitním článkem. Pokud máte zkušenosti na základě kterých píšete o nebezpečnosti některých nastevích, bylo by dobré uvést vlasntí výzkum, který by "fakta" podložil. článek, tak jak je napsaný, je sunjektivním názorem autora, vhodný na nějaký blog či fórum nebo wikipedii, které nejsou považovány za kkvalitní zdroje informací.
Uvádíte, že: "tento serial se ale zabyva realitou (webhostingy), nikoliv predstavami (zde diskutujici ctenari)." Jaká je ale realita, vy ji snad znáte? Pokud ano, podělte se s námi o nějaké statistiky. Pokud zde existuje nějaká studie, která říká, jaká ja běžná praktika zabezpečování serverů, bude to něco, co by mohlo dodat vašmu článku na odbornosti. Podobně by se dalo reagovat na další vaše výroky jako: "Neomezuji se na konkretni, nybrz nejrozsirenejsi pripady a nasazeni." či "Vas server neni typickou ukazkou webhostingu, jeho analyza by byla tudiz irelevantni a zavadejici." Jak už jsem psal, nejsem v žádném přpadě odborník v oblasti a spíš než konkrétní způsoby chyb v zabezpečení by mě zajímalo, jak dalece jsou dané chyby rozšířeny.
Dále jste zmínil, že "bezpecnost je zajiste nutno brat v kontextu souvislosti, cilem tohoto serialu vsak bylo seznameni se s bezpecnosti na urovni PHP, o kterou se soucasne webhostingy silne opiraji a ctenari na to byli upozorneni, hned nekolikrat." Opět se můžeme vrátit k tomu, že pokud nebude uvedena nějaká studie o tom, jak jsou webhostingy zabezpečeny, zůstane toto tvrzení na rovni osobního názoru autora. Zároveň tím popíráte smysl článku, resp. svého chování v následné dikuzi, ze kterého plyne, že bezpečnost na rovni PHP považujete prioritní a ostatní vás nezajímá (snadno dokladovatelné např. tvrzením: "Ne, ani vyrok nektereho odbornika by nezmenil fakt, co lze na dnesnich webhostinzich provadet"). Pokud je bezpečnost nutné brát v kontextu souvislostí, pak je naprosto jedno, zda je server zabezpečený správným nastavením vámi zmiňovaných paramentrů, nebo pomocí jiného způsobu (např. na rovni OS, jak bylo uvedeno v diskuzi) a vaše tvrdohlavá obrana svého článku se tím pádem jeví naprosto zbytečně. Stavět článek na nějaké důvěryhodné statistice o zabezpečení serverů, bylo by možné se zaměřit na to, že zabezpečení na rovni PHP je kritické, jelikož není řešeno jinak (pokud by to bylo v souladu s takovou statistikou). Nic taového tu ale nemáme, což posouvá problém do rovny vašeho vlastního názoru.
V článku píšete, řeby neměl být "příručkou při provádění jakýchkoliv útoků, nebo jiným způsobem poškodit majitele webhostingových společností". To je pochopitelná součást jakéhokoli článku, který popisuje zabezpečení čehokoli. Proč se pak ale chováte, jako by to cílem článku bylo - "Vase prispevky pouze dokazuji, ze nejste schopen zneuzit spatne konfigurace vyse jmenovanych direktiv ve svuj prospech, proc se tedy ucastnite teto diskuze." Nepsal jste snad článek proto aby čtenáři byli informováni o nebezpečí, které plyne ze špatně zabezpečených serverů. Není přece důvod být arogantní k lidem proto, že nejsou hackery, kteří by chyb v zabezpečení chtěli využívat.
Co si z vašeho jednání člověk odnese (krom možné zábavy na tédto diskuzi) je fakt, že vyše osoba není žádným odborníkem. Odborník by se v první řadě nezybýval komentáři - napsat článek a nechat čtenáře, ať o něm diskutují. pokud by se přímo vás chtěl nějaký čtenář na něco zetat, patrně by vám napsal email. Když už náhodou reagujete v diskuzi, měl byste ragovat slušně a seriózně. Vyhývbat se odpovědím, které by vám neprospěly, je sice umění honé politika, nicméně odborný autor by měl umět odpovědět na otázku, případně uznat nedostatek ve své práci. Tvrdohlavě hájitsvojí práci navzdory věcným faktům, snažit se odbývat respondenty s tím, že nejsou žádnými odborníky a odmítat reakce naonymních uživatelů, to nenínic, co by vá z vás udělalo odborníka, spíše napak.
No zakončil bych vašimi vlasntími slovy ... "Smirit se s moji predstavou samozrejme nemusite, nikomu nic nenutim a uz vubec se nesnazim nikoho poucovat." Vzheldem k tomu, co jste tu psal v diksuzích si nemyslí, že nechcete nikoho poučovat, ale stejně tak se dá říci, že já chci teď poučovat vás, jak by měl vypadat odborný článek. -
anonymníMam to chapat tak, ze pokud nekdo upozorni na to ze autor neni odborne zpusobily na to napsat clanek, tak ma byt rovnou schopen napsat clanek nahradni?
To logicky vede k tomu, ze podle vas mohou kritizovat jen jedinci co krom svych odbornych znalosti jsou take navic jeste literarne zdatni a maji cas psat clanky... To myslite vazne?;) -
anonymníDobry den,
v prve rade bych ale rad vyjadril svoje pobaveni nad tim, ze jste si me komentovane shrnuti, soude dle vasi reakce, vylozil (opet) jako nejaky osobni utok;)
ad "...VSE nebo o VSMIE ci neco uplne jineho nevime" Nevite, protoze je to irelevantni a v kontextu s anonymimi prispevky zde diskutujicich ctenaru naprosto smesne.
...jako napriklad zde. Stredni skolu jde uvedl konkretni, vysokou skolu nikoliv, proto jsem zminil v ramci shrnuti informaci o autorovi (ackoliv jste informace o sobe podal v diskuzi u jednoho z dilu, nejsou k dispozici v podstate nikde jinde) ze o jakou konkretni skolu jde neni znamo. Nic vic;)
ad "nema jedinou firmu kterou je ochoten predat jako referenci" Proc se vyjadrujete k necemu, cemu nerozumite? O tomto nerozhoduji ja, nybrz zakaznik. Pokud si nejaka spolecnost nepreje byt vedena v referencich, tak to respektuji a parta anonyminich uzivatelu kdesi na lupe na tom nic nezmeni.
Opet, zkuste reagovat o neco mene ublizene. Z meho pohledu je jedno, jestli vas k mlcenlivosti zavazali vasi zakaznici. Z meho pohledu proste vidim, ze nemate jedinou referenci. Nic vic.
Nenapsal jsem, ze si ostatni jazyky "netroufam" dat do CV, nybrz ze nejsem alibista, abych tak jednal, opet si vymyslite, vyraz "dle vlastnich slov" mel byt tedy co? Vtip?
Kdyz jste se ptal na ty terminy, se kterymi mate problem... vite, co znamena "alibista"?;)
Neomezuji se na konkretni, nybrz nejrozsirenejsi pripady a nasazeni.
[...]Co je podle Vas "omezena perspektiva"? Nejbeznejsi konfigurace verejnych webhostingu? To si malinko protireci, nemyslite?
Ptal jsem se Vas na to i v nektere z predchozich diskuzi a komentoval jsem to i zde. Mate ty vase "nejbeznejsi konfigurace verejnych webhostingu" nejak dolozene? Napriklad kdyz se podivam na hormart.cz, vidim, ze top10 webhostingu ma hostovano neco pres 180 tisic domen, coz je pomerne slusne reprezentativni vzorek klientely. Muzete prosim tedy dolozit tvrzeni "nejbeznejsi konfigurace" pro tento nebo jiny velky vzorek klientely? Bez toho je totiz "nejbeznejsi" a "nejrozsirenejsi" pouhe placnuti do vetru - byva zvykem tato tvrzeni dokladat.
Clanek se zminuje o behu PHP v podobe modulu a CGI procesoru z toho duvoud, ze jsou tyto dva zpusoby nejbeznejsi a jsem zvedav, jakymi argumenty se mi toto tvrzeni pokusite vyvratit.
Ja jsem spis zvedav, jakou statistikou to vy budete prokazovat;) Mozna by bylo lepsi brzdit s temi superlativy, kdyz je nemate podlozene cisly, nemyslite? Zda se, ze to ostatne neni prvni pripad;)
Vy po mne chcete, abych ucil ctenare konfigurovat suhosin patch a firewall mod_security? A co treba rovnou instalovat selinux a zrizovat chroot, aby nam tech garazovek jeste pribylo?
Ne, to se nesnazim rict - ackoliv jsem presvedcen, ze uz po tomto clanku garazovek pribyde dost a dost. Mou pointou je neco jineho: obsahove toto proste na tridilny serial nema.
Pokud tou rozmanitosti mate na mysli minoritni anomalie, tak Vam nic nebrani v tom, abyste o nich napsal clanek nebo serial, co rikate?
Na obdobny argument jsem jiz reagoval vyse, viz: [diskuze vyse]
Co ma skutecnost, zda jsem byl nekdy zamestnan na plny uvazek nebo jsem drzitelem zivnostenskeho opravneni spolecneho s bezpecnosti webhostingovych serveru? Muzete me prosim poucit?
To, ze nemate nijak dolozitelnou praxi v oboru.
Stejne tak nizkourovnove jazyky. Pokud neumim dobre programovat v assembleru, nesmim provadet penetracni testy webovych aplikaci, to jste tim chtel rici?
Ne - chtel jsem tim rici, ze k tomu mate mensi odborne predpoklady.
Zaverem bych rekl, ze odkazovani se na to, zda-li jsou nebo nejsou diskutujici odbornici je v podstate irelevantni. Vy jste placen za to, ze pisete clanek/clanky o nejakem tematu. Vasi snahou je sepsat tyto clanky poutave, na jiste odborne urovni a tudiz presvedcit ctenare o tom, ze jde o zajimavy material. Jste opravdu presvedcen, ze se to povedlo?
-
ef (neregistrovaný)Ale ne, ja Vam preci nenadavam, ja pouze konstatuji svuj pohled na vec. Proste mam s lidmi ze soom.cz uz jistou zkusenost a tenhle clanek do ni zapada :-). Ale dost toho, hura do odpovedi.
Souhlasim s Vami, pristup k cizim datum je nepripustny, at se jedna o spatnou konfiguraci PHP direktiv nebo o kernel jak cednik, to je celkem jedno. Tohle samozrejme podstatne je. Ja jen tvrdim, ze se neda pausalizovat a ze informace typu "pokud je safe_mode_gid zapnuty, tak jdete od toho" ma vahu jen za jistych podminek, ktere ovsem v clanku nezminujete. Ja treba tvrdim, ze pokud kazdy uzivatel bude mit sve vlastni UID i GID (neni tak neobvykle), tak neexistuje zpusob, jakym by safe_mode_gid mohl bezpecnost zhorsit. Naopak pomuze zbavit se nekterych negativnich dopadu, ktere safe_mode ma. Je jasne, ze pokud budou vsichni uzivatele ve stejne primarni skupine, tak je safe_mode_gid na pytel (a neverim, ze takovou konfiguraci skutecne nejaky realny komercni webhosting ma, at uz je jakkoli garazovy). Ale to je presne ten sirsi kontext, o kterem jsem mluvil. Nekde to pomaha, jinde to je nezadouci.
Teda, vse vychazi z toho, ze jsme vubec ochotni tolerovat mod_php. Pokud jste ale chtel tremi dily serialu poukazat na to, ze mod_php je spatny (mkay), tak se to myslim dalo rict strucneji :-). Pokud bylo cilem clanku rici, ze mod_php se da nakonfigurovat lepe, tak zase chybi nejaky vetsi nahled.
Predstavu mam docela dobrou, dokonce i realizovanou :-). -
mn (neregistrovaný)Vytrhavate me vety z kontextu a pak se jejich vyznamu divite. Ctenar, jemuz tato reakce patrila, ocividne uvedene problematice nerozumi a svoji neschopnost si vysvetluje tim, ze dane informace jsou bezcenne. Navic jeho komentare neobsahuji zadne vecne poznamky k clanku, pouze urazlive osobni vypady. Uvedena reakce byla tudiz na miste. Nejsem arogantni k lidem z toho duvodu, ze nejsou hackeri, ale proto, ze se chovaji neslusne nebo povysene (viz pan Vrana).
Ctenar, jemuz ta reakce patrila, zavadel u jednoho z top 10 webhosteru minimalne 2 sluzby, ktere zasadne ovlivnily podobu jeho nabidky pro pristich par let, a take krome cele rady dalsi prace (napr. zmena systemu zalohovani, etc.) automatizoval a standardizoval podobu produktu, ktere se prodavaji klientum, coz je narozdil od Vas dost konkretni podlozeni praxi. Mozna mate spis Vy problem, ze neumite akceptovat jakoukoliv kritiku (nebo ji nerozumite) a misto toho se jako male dite hadate do morku kosti a chvilemi reagujete zcela zcestne. Bohuzel nemam tento tyden dost casu na to abych se tu s Vami mohl denne nonstop dohadovat. A ani to nema vyznam. Vy se tu uspesne shazujete sam, a kupodivu to jeste stupnujete. Mozna bych Vam mel pogratulovat.
-
mn (neregistrovaný)To zni zcela jiste jako hrozna security, ale ono to tak nebude. Mam info jak z hlediska zadavatele pentestu, tak i dodavatele, a muzu Vam rict ze ani jedno z toho nejsou garazovky a v techto relacich to nikdo neresil. ;) Navic u toho dodavatele, coz je opravdu zavedena firma na CZ trhu, jeste dochazi k systematickemu verejnemu _rozsirovani_ referenci, a je to i logicke. A to, ze nekdo vi, ze jste pro nekoho udajne delal nejake penetracni testy, odberatele nijak neohrozuje. Proto jsem osobne presvedcen, ze poradne kecate. Ledaze by se za Vas klienti stydeli.
-
mn (neregistrovaný)Prijde mi to zcela fer, protoze Vy tu vystupujete za sebe, se svym clankem - kdyz budu psat takovyto clanek sam, nebudu mit problem k sobe uvest reference, o ktere se mohu oprit. Navic Vy jste napsal clanek, ktery vedl k takoveto diskusi a neposkytl nikde zadne konkretni podklady (statistiky, konkretni hostery, atd.).
Coz me mimochodem privadi k docela kuriozni zalezitosti - jeste jsem se nesetkal s tim, ze by si clovek nemohl dat do referenci klienta - osobne mam podepsanou mlcenlivost s celou radou spolecnosti, prip. nejake smlouvy na konkretni sluzby ktere mlcenlivost obsahuji v mensi ci vetsi mire, a vzdy je to bud tak ze mohu pouzit konkretni spolecnost jako referenci (resp. bud je tam vyjimka na mlcenlivost stran existence smlouvy, nebo tam vubec neni tato vec zahrnuta a automaticky s tim neni problem...), anebo pokud delam pod nejakou spolecnosti pro jinou spolecnost tak sice nemohu verejne vystupovat jako dodavatel pro koncovou firmu, ale pro sveho zadavatele ano. Jinymi slovy - neverim, ze mate podepsane takove mlcenlivosti, ktere by Vam neumoznily pouzit sve klienty jako reference. Ostatne mi to prijde i zcela nesmyslne... A tedy take jsem se nikdy nesetkal s tim, ze by zadavatel explicitne chtel, abych ho utajoval. Ale treba je to jinde bezna praxe, co ja vim... :)) -
ef (neregistrovaný)Mno, ono je fakt, ze spousta hostingu suexec skutecne nepouziva, a to vcetne tech opravdu velkych, ono se to precejen o malinko hure administruje nez mod_php, nekteri klienti se vztekaji, ze nemohou nastavovat php direktivy per adresar... To bych mu zase nebral. Ostatni veci... mno, k tomu jsem se uz vyjadril o par komentaru vyse :-).
-
Messa (neregistrovaný)Pokud to správně chápu, tak je celý seriál o PHP a o neschopnosti některých webhosterů provozovat PHP podle konvencí unixových oprávnění, tzn. různé procesy s různými vlastníky. Teď nevím, co je horší, jestli to, že za webhosting se považuje jen Apache+PHP, nebo neschopnost webhosterů nakonfigurovat Apache trochu jinak než jak je to v Debianu defaultně (matně si vzpomínám, že to v Apache dá trochu víc práce, ale nevím, naštěstí se už o Apache ani PHP příliš zajímat nemusím).
-
Aleš (neregistrovaný)Mě osobně zajímá, kdo je autorem článku a jeho vzdělání a praxe k tomu samozřejmě patří.
Co se týká té informace, když už tu někdo školu dohledal, mohl byste to uvést na pravou míru? Co znamená 1. ročník / 1. semestr (to zní jako že druhý semestr jste ještě nedokončil... v září trochu podivné)? Ale nemusíte odpovídat, tolik mě to neznepokojuje. -
anonymníBlablabla bleble plk; pubertalni penetracni tester, ktery momentalne nema do ceho adekvatniho pichnout (rozumej do mentalne srozumene 17lete pubertacky, kterou ohromuje tim, ze studuje informatiku a umi se prihlasit pres PuTTY), pise "serialy" na odborne servery a po zbeznem precteni PHP manualu, z nehoz polovinu veci nepochopil, se dohaduje s mnohaletym PHP vyvojarem. Opravdu se bavim.
Odborny a informacni prinos clanku nula, autor si misto toho masturbuje sve ego v diskusi.
Quo vadis, Lupo?! :=(( -
Aleš (neregistrovaný)K cemu Vam tato informace bude dobra?
Tutu otázku jste si měl položit vy sám po napsání článku?
Vrátím se k odpovědi na otázku... k ničemu (stejně jako článek). Jde sice o zajímavé téma, ale vaše informace jsou, co se týká výběru hostignu, zcela bezpředmětné (jak ukázala diskuze). Lepší hosting od horšího podle informací v článku nepoznám. -
anonymníPro mě byla ještě přínosnější diskuse.
Její hlavní podstata spočívá v tom, že autor vypsal některé bezpečnostní problémy provozu PHP a řada správců webhostingů teď huláká, jaká ke to blbost, protože půlku věcí nevěděli a jinou polovinu svých věcí bez hlubšího pochopení naopak naflákali do zabezpečení.
Z toho se opět potvrzuje jediný závěr. Na žádném webhostingu nemůžete nikdy tušit, co který správce někde bezdůvodně omezil a na co naopak zapomněl. Nejhorší je, že náhodou potřebujete nějakou výjimku, tak to je lepší si asi hodit mašli. Blbce prostě nepřesvědčíte, že když skripty napíšete opatrně (a neunikde vaše heslo), tak se nic nemůže stát.
Otázkou ale zůstává, zda celé PHP svým pojetím funkcí, které spatlá kdejaký dvacetilý klučina bez zkušeností, jde nějak zabezpečit. Méně dobře odladěných a funkcí by bylo pro celé PHP mnohem daleko lepší a bezpečnější. Jako potvrzení svých slov uvádím leta trvající útoky na /admin-neco/main.php . (Že tohle nikdy žádný odborník v diskusi o bezpečnosti nezmíní?) -
Aleš (neregistrovaný)Mohu se zeptat odkud máte informace o podmínkách pro podnikatele v naší zemi?
Jako podnikatel s vámi musím hrubě nesouhlasit, neboť podnikání (zvláště pak při studiu) je v naší zemi velmi výhodné. A jak jste sám napsal, pořídit si živnostenské oprávnění je otázka 1000,- korun.
Ač jsem i přesvědčen, že už samotný ŽL dává jeho držiteli větší důvěru (lepší než nemít nic), tak samozřejmě je to pro klienty výhodnější, než uzavírat smlouvu o dílo. -
ms (neregistrovaný)Kde jsem vzal informace o podminkach podnikani v nasi zemi.. no jsou to spise zkusenosti nez informace... a prave pro to ze stoji jen 1000 kc a v tomto oboru je to zivnost volna tudiz duveryhodnost nulova...mozna pri studiu to nejake vyhody ma to nemohu posoudit ale studovat se neda vecne a muzu vam rict a nevim jak dlouho podnikate, ze vyhodne podnikani vypada trochu jinak pokud chcete dodrzovat pravidla stanovena s podnikanim..ale to uz by bylo na jinou a delsi diskuzi ...
-
mno jo (neregistrovaný)ono za to muze asi i fakt
"Uživatel dosud nikdy nečetl univerzitní poštu."
http://is.mendelu.cz/lide/clovek.pl?id=30740
pochybuji ze by tato kontrolní hláška ignorovala pokud be se tam přihlásil pro přesměrování. -
a (neregistrovaný)Dovolil bych si přidat dva zajímavé odkazy, které se přímo vztahují k tomuto diskuznímu vláknu:
* http://php.vrana.cz/kontrola-bezpecnosti-serveru-na-volne-noze.php?new=8927#d-8842
* http://phpfashion.com/jak-penetruji-mladi-chlapci
Opravdu stojí za trpělivost si je přečíst ;-) -
Aleš (neregistrovaný)Souhlasím, že by podmínky mohly být lepší, ale nejsou zase tak hrozné. Je mi líto, že máte špatné zkušenosti, ale podnikání není pro každého. Obvykle je větší chyba na straně jednotlivce než systému (tím samozřejmě nemluvím konkrétně o vás, jen se vracím k unáhlenému výroku, že podnikat začne jenom blázen).
I když získání živnostenského listu je opravdu jednoduché, přesto to má pro klienty nesporné výhody (důvěryhodnost můžeme pro tuto chvíli pominout).
Vzhledem k tomu, že autor je student, po celé dva roky, kdy se věnuje této činnosti (která ho prý živí), studentem patrně byl a do ukončení studia mu ještě dva roky chybí, je pro něho pořízení živnostenského listu opravdu výhodné a je podivné, že jej zatím nemá (přece tu psal, že ho ta práce živí).
o podnikání při studiu:
http://destil.bloguje.cz/566671-poridit-si-zivnostensky-list-je-pro-studenta-jednoduche-a-vyhodne.php -
ms (neregistrovaný)clanek je sice zajimavy ale jiz asi rok stary a nedokazu rici co plati a co uz ne.. vyrok to unahleny nebyl a dokazuje to vase veta "podnikani neni pro kazdeho"... jestil mi teda rozumite :-)
a osobne si myslim ze i pri studiu by byla vyhodnejsi pro autora ta dohoda a to i proto, ze dela pro jednoho cloveka, ktery ten ZL ma a ten clovek to fakturuje zakaznikum (jestli jsem to teda dobre pochopil)...
moje zkusenosti nejsou spatne tak, ze bych prestal podnikat, jen kdyz se nad celou situaci zamyslim cim dal vice do hloubky tak prave ty podminky a ten system jsou spatne nastaveny a to podnikam cca 5 let a doufam, ze dalsi vyvoj bude jen pro zlepseni podminek :-) -
1. Jak jinak si mám vysvětlit obrat "přesto, že to direktiva open_basedir výslovně zakazuje"? Pokud jste měl na mysli skutečně ten tradiční scénář, kdy soubor vytvořený webovým serverem může v safe_mode pracovat s takto vytvořenými soubory jiných uživatelů, tak před tím open_basedit naopak ochraňuje.
3. Samozřejmě jsem to i zkoušel a výsledek zkoušky prezentoval v této diskusi. Kde PHP podle vás v kódu <?php getimagesize("obrazek"); ?> vezme MIME typ? Funkce getimagesize() se rozhoduje podle obsahu souboru, dokazují to zdrojové kódy i praktické zkoušky a vaše zarputilé přesvědčení na tom nic nezmění.
3b. Ještě mě napadá, že možná celou dobu mluvíte o hodnotě $_FILES['userfile']['type'] a máte možná pocit, že s funkcí getimagesize() nějak souvisí. Tuto hodnotu nicméně nastavuje prohlížeč a PHP ji jen posílá dál, takže obrat "PHP považuje za obrázek i soubor s příponou .jfif" je opět nesmyslný.
Sázku přijímám. Pokud se na školení nic nového nedozvíte, budete ho mít zdarma. Pokud naopak ano, tak mi zdarma provedete audit nějakého PHP kódu. (Možná by se hodilo, abyste před školením alespoň v bodech sepsal své současné znalosti, abychom to po školení mohli porovnat.) -
anonymníZrovna J.Vrána není vhodný příklad. To je člověk, který pluje na vlně plácání o bezpečnosti, které je stejně k ničemu, protože dříve nebo později nějaký (zahraniční) Vrána napíše nebo rozšíří úplně blbě nějakou funkci a najednou bude i její staré použití hacknutelné.
Jako příklad uvedu rozšíření funkce include a o hodně později její konfigurační omezení.
A všichni budou zase jen teoreticky kecat o nebezpečnosti místo toho, abysme buď PHP rovnou zahodili anebo si alepoň pro češtinu doplnili ICONV. To ani nějaký Vrána neudělá - natož aby školil, jak věc obejít.
Konec konců, můžete s tím začít sám. - Ale kdo by to dělal, když ani za 10 let staré Satrapovy konverzní cgi-skripty nikdo nedoplnil na úplnou konverzi všech 128 znaků ASCII-2. -
mn (neregistrovaný)Tak ja to presvedceni pouze vyslovil, zeano ;) Myslim, ze obrazek o Vas si tu uz udelali lidi dostatecny...
Stran nazvu spolecnosti jsem se vyjadril myslim dostatecne jasne. (Ono je to tedy navic mimochodem ze 2 ruznych pripadu - z hlediska zadavatele to beru dle sveho soucasneho zamestnavatele ktery to resil kvuli nejakemu nezavislemu auditu nami vyvijeneho SW; a pokud jde o dodavatele, tam jde o jiny pripad. A jinak verim, ze se tu najde vice ctenaru, kteri maji podobne realne zkusenosti.) -
K cemu Vam tato informace bude dobra? Ve vetsine pripadech jde o firemni informacni systemy a verejne prezenace, v mensi mire pak verejne aplikace/e-shopy a osobni weby/blogy tvori minoritni klientelu (to jsou spise znamosti). S portaly verejne spravy jsem nikdy zadnou spolupraci nemel a knihy navstev pouze pokud mate na mysli forum, ktere je soucasti jine prezentace, samostatne nikoliv. -
anonymníAž když se ozval tento autor, tak se mit celé vysvětlilo.
Vrána, Kosek i autor článku umějí hlavně všechno opisat ze zahraničních serverů.
Proto takové výtky, že tomu autor nerozumí, nemá zkušenosti a píše.
Vrána by měl místo reklam na své školení začít jedna férově a plnit to, co slíbí a nešvindolvat datz dopisů.
A Kosek - ten by především měl ze svého serveru smazat opsané První kroky.
Ale proč by takoto nejednali další další, když těmto dvěma to leta prochází. -
Ne, ani vyrok nektereho odbornika by nezmenil fakt, co lze na dnesnich webhostinzich provadet (navic pod takovy komentar by se nikdo nepodepsal, byla by to sebevrazda, proto zde lze snadno rozeznat, kdo se v dane problematice orientuje a kdo jen kritizuje).
S tim samozrejme souhlasim a nikde jsem to v clanku nepoprel. Co je mozne a co je pak ve skutecnosti aplikovano je vsak ten problem, na ktery se snazim pomoci tohoto miniserialu upozornit.
Smirit se s moji predstavou samozrejme nemusite, nikomu nic nenutim a uz vubec se nesnazim nikoho poucovat. I kdybyste danym informacim neveril (ja Vam to vycitat nebudu), prinejmensim si pri vyberu pristiho webhostingu budete davat vetsi pozor i na bezpecnost, i Vas tedy tento serial poznamenal, coz je mym osobnim vitezstvim. -
Prosim!! Prestante se porad odkazovat na VASI schopnost nekoho "dostat" a poskytnete nam SKUTECNA data. Kolik hostingu ma takove chybne nastaveni? Kolik jste jich skutecne prosel? Jaka jsou FAKTA?? Cim je podlozite?
Proc se cela diskuze nakonec vzdycky stoci k tomu, jaky VY jste skutecny odbornik. Me to VUBEC nezajima, budte treba mistr sveta amoleta. Napsal jste clanek a aspon pulka diskutujicich se vas pta na KONKRETNI FAKTA - DOLOZTE je.
Zaroven vas poprosim, abyste posouzeni toho zda jste ci nejste odbornik ponechal hlavne na tech, pro ktere pracujete (coz je v tuto chvili i pro mne - ctenare Lupy). Az vas budu mit za odbornika, budete mit muj respekt. Z toho co tu ctu za Vase komentare nemam zadny respekt. Toliko ke slovu "odbornik". -
Ještě k té bezpečnosti webových aplikací VS serverů:
- Přinejmenším část "PHP považuje za obrázek i soubor s příponou .jfif" se týká hlavně bezpečnosti webové aplikace.
- Na svém novém webu pentester.cz se pokud vím chcete věnovat i auditu PHP kódu.
- Troufám si tvrdit, že na zmiňovaném školení se bezpečnost serveru probírá víc do hloubky než v tomto třídílném seriálu (v rámci v podstatě okrajového tématu "není bezpečné aplikace na nebezpečném serveru").
Přišlo mi, že v této oblasti máte jisté rezervy, proto jsem si vás dovolil na školení pozvat. Pokud by někdo takhle pozval mě, s radostí bych pozvání přijal. Stejně tak se těším na spuštění vašeho serveru.
-
ppp (neregistrovaný)Neregistrovaný ef napsal:
Bezpecnost je tak nejak nutno brat v kontextu souvislosti.
"Věci je nutno viděti nikoli odděleně, nýbrž vcelku. Dějiny jsou dějinami třídních bojů. Já to tak vidím."
"Ty vidíš, Jasánku, veliký hovno," odvětil kulak Vata.Teda tak nějak v kontextu souvislosti, to je fakt perla, to by se mělo tesat.
A čo vy si, Kefalín, predstavujete pod takým slovom "kontext"? :-)
-
mn (neregistrovaný)Vemte si 10 nejvetsich webhosteru v CR, otestujte si jejich bezpecnost, udelejte z toho konecne poradny clanek, a ja Vam pak budu rad oponovat. Takto to delat nebudu, Vam neduveruji a nepovazuji za profesionalni do takto vypjate diskuse zatahovat takovymto zpusobem jeste nejakou spolecnost, i kdyz pro ni jiz nedelam.
A ma reakce byla obranna, neminim tuto polemiku s nejak dale rozvijet. K clankum jako takovym jsem se +- vyjadril - to ze jsou prvni 2 dily otresne, treti o neco min otresny, obsahuji celou radu zavedejicich a nesmyslnych informaci a Vase poneti o produkcni praxi je naprosto mizive, prestoze neustale argumentujete ze "podkladate realitou" (mozna tak ic.cz realitou apod.), tak za tim si stojim i nadale. A ocividne nejsem ani zdaleka sam. At se s Vami dal pretahuji jini... -
mn (neregistrovaný)No rozhodne bych nechtel delat penetracni testy od nekoho kdo ani nema zivnostak; a v IT delam nejakou dobu... Ano, vim ze to tak nekteri lide provozuji, a take vim co to je za lidi a na jake typy projektu se omezuji, resp. kdo je vubec ochoten s nimi nejak vice spolupracovat a na cem... :)) Velice oblibene jsou mimochodem podobne praxe u garazovych hostingu.
-
anonymníPodobnou logikou (a gramatikou) bych mohl podotknout:
Zakaznici maji tolik rozumu, ze jsou pro ne rozhodujici vysledky (tj. bezici web), nikoliv to, zda je nebo neni ten hosting bezpecny.
Problem NENI v tom, ze by Vam nikdo neveril, ze nejste schopen udelat nejaky utok. Nicmene pokud nemate reference, tak nikdo nevi, zda na to vynalozite nejake intelektualni usili. Pustit par skriptu umi kazdy. -
anonymnínejak z diskuse nemam pocit, ze by se tu vyjadrovali lide co veci nerozumi (ef, J. Vrana, eGo.. pisi IMHO dost k veci)
ne, to opravdu tusit nemuzete jak je na tom vas hosting, pokud nemate adm prava na danem stroji, co tam kde je zapnuto/vypnuto/povoleno/zakazano/opomenuto - je to o tom, ze mate duveru v danou firmu, ze za penize co od vas dostava dela to co ma a dela to poradne. A pokud vam na tom opravdu zalezi, tak si jiste rad veci zjistite a za lepsi bezpecnost priplatite (bezpecnost se totiz sama neudela a musite zaplatit cloveka, ktery to umi a kteremu se da verit a tim padem se to taky musi projevit na vysledne cene)
z 3 dilneho clanku jsme se akorat dozvedeli to, ze jsou nektere hostingy mene bezpecne nez jine, to mi pripada trochu malo
pointa clanku mela byt, podle ceho se da v takove situaci orinetovat, zda za sve penize dostava clovek odpovidajici hodnotu - a tady to autor tezce nezvladl (tohle neni pouze o popisu nekterych direktiv a fci php, ktere si muzete vzdy najit v manualu popsane lepe i s varovanim,co ktere nastaveni prinasi pro bezpecnost). Naopak pritom ukazal nektere elementarni neznalosti v oboru (napr. verze jadra, fce getimagesize(), fce posix_passwd() etc.) a na kritiku reagoval, tak jak reagoval... cili si kazdy muze udela obrazek sam.
PHP se da zabezpecit pomerne rozumne, ale neudela se to samo a nestaci k tomu samotne php. Materialu o tom je na netu dost a dost - staci se nebat ucit a premyslet. -
eGo (neregistrovaný)Ten clovek je mlady a nezkuseny - chtel bych videt, kolik webhostingu kdy on spravoval. Jako uzivatel psat o bezpecnosti a nevedet co to znamena administrace je naproste plytvani casem pro vsechny - dokonce i prostorem v databazi, kde je tenhle clanek ulozeny.
Uz jsem tomuhle klucinovi nabize, ze mu dam hosting u me na serveru, ktery je primo urceny k tomu, aby ho nekdo rozbil.
Ale aspon jeden dalsi, ktery se treba casem neco nauci. -
eGo (neregistrovaný)Jeste jednou a naposledy - dam Vam pane autore account na serveru urcenem ke zniceni (cili boxtokill), muzete vyuzit naprosto VSE(ze skoly)HO co jen znate a umite. Pouze bych poprosil ne DOSovat a ne DDoSovat pres tloustku linky, jelikoz kazdy jiste zna prikaz ab -c 100 -t 1000 a jine podobne nastroje a nejak me zlobi mod_dosevasive2, o kterem se ale nejak nezminujete ;o)
Driv jsem taky zvastal o security, ale nema to smysl. Jedine co ma smysl je hands on keyboard (or mouse if you want). -
1. Kde v te vete vidite napsano, ze tato zmena ovlivnuje direktivu open_basedir? Ja tam ctu, ze libovolny obsah direktivy open_basedir utoku nezabrani. O nejakem ovlivnovani tam zminku hledam marne.
2. Funkce fopen() netrpi na open_basedir bypass, coz se o tempnam() bohuzel rici neda.
3. Napsal jsem podle MIME typu, nikoliv podle nazvu a uz vubec ne podle obsahu, jak pisete Vy. Prectete si moji reakci prosim jeste jednou a poradne.
Nesnazte se argumentovat necim, co jsem nerekl. -
Vas komentar totiz jako osobni utok vyznel, navic okoreneny smyslenymi fakty na duveryhodnosti nepridal.
Neuvedl jsem ani konkretni stredni skolu, natoz vysokou (jedna se o ekonomickou informatiku, kdyz Vas to tedy zajima vice nez probirana bezpecnost).
Myslet si samozrejme mate pravo cokoliv, nemam potrebu se pred nekym obhajovat, natoz v anonymni diskuzi. Spokojeni zakaznici by s Vami nesouhlasili. Necekejte ale, ze Vam to ted zacnu vyvracet a porusovat sve zasady.
Vim velice dobre, co znamena alibista. Jedna se o cloveka uplatnujiciho politiku dvoji tvari. Napr. ve skutecnosti neumi, prezentuje se ale jako odbornik. Me CV je dostatecne pestre na to, abych byl nucen uvadet i schopnosti v nichz nevynikam.
Ano, dolozene je mam, praxi. Cim Vy, ze mi kontrujete?
ad CGI vs DSO
co takhle si vyhradit minimalne jeden vecer a projit si rekneme alespon 20 webhostingu. Na kolika z nich pobezi PHP jinym zpusobem nez je uvedeno? Dovolim si tvrdit, ze i kdybyste jich za ten vecer prosel 100, tak na zadnem.
ad "To, ze nemate nijak dolozitelnou praxi v oboru"
Ani touto poznamkou me nevyvedete z miry, sve spokojene zakazniky znam. Ti by Vam za pravdu nedali a to je pro me rozhodujici.
ad "Ne - chtel jsem tim rici, ze k tomu mate mensi odborne predpoklady"
Znalost nizkourovnovych jazyku nevypovida naprosto nic o mych odbornych predpokladech co se penetracnich testu webovych serveru a aplikaci tyce. Neumim si predstavit, jak byste chtel jmenovane vedomosti vyuzit pri tomto typu auditu.
ad posledni odstavec
Pozitivni reakce me presvedcuji o tom, za ano. -
Dobry den,
prvni vec, co me na Vasi reakci zarazila, je, ze povazujete server Lupa.cz za kvalitni zdroj informaci, zatimco wikipedii nikoliv. To si opravdu myslite?
Vybrat jsem si samozrejme mohl z jakekoliv skoly, ktera by byla prestizneji (VUT, Masarykova), pak bych ale rozhodne nemel prostor na svoji praci a projekty, ktere notnou davku casu vyzaduji. Mene prestizni, presto uznavana skola se tak zdala vhodnou volbou pro to, jak skonbinovat praci se studiem.
Reference na jinou odbornou literaturu jsem nenasel snad pod zadnym clankem na lupe, co Vas vede k tomu kritizovat zrovna ten muj, tedy nechapu.
Co se tyce zpochybnovani mych tvrzeni, nerekl bych, ze jsou na urovni osobniho nazoru, nybrz osobnich zkusenosti.
Nikde jsem neuvedl, ze PHP povazuji za prioritni a ostatni me nezajima, citovana veta s tim navic vubec nesouvisi. Naopak jsem nekolikrat uvedl, ze bezpecnost sdilenych serveru netkvi pouze v konfiguracnich direktivach dynamickeho jazyka, kterymi se tento serial zabyva.
ad "Pokud je bezpečnost nutné brát v kontextu souvislostí, pak je naprosto jedno, zda je server zabezpečený správným nastavením vámi zmiňovaných paramentrů, nebo pomocí jiného způsobu (např. na rovni OS, jak bylo uvedeno v diskuzi) a vaše tvrdohlavá obrana svého článku se tím pádem jeví naprosto zbytečně."
Jenze to ma maly hacek, a sice, ze soucasne webhostingy se spolehaji predevsim na zabezpeceni na urovni PHP, nikoliv OS, opet stred reality a idealnich predstav.
"Vase prispevky pouze dokazuji, ze nejste schopen zneuzit spatne konfigurace vyse jmenovanych direktiv ve svuj prospech, proc se tedy ucastnite teto diskuze"
Vytrhavate me vety z kontextu a pak se jejich vyznamu divite. Ctenar, jemuz tato reakce patrila, ocividne uvedene problematice nerozumi a svoji neschopnost si vysvetluje tim, ze dane informace jsou bezcenne. Navic jeho komentare neobsahuji zadne vecne poznamky k clanku, pouze urazlive osobni vypady. Uvedena reakce byla tudiz na miste. Nejsem arogantni k lidem z toho duvodu, ze nejsou hackeri, ale proto, ze se chovaji neslusne nebo povysene (viz pan Vrana).
Ano, komentari jsem se nemel vubec zabyvat, je to pro me pouceni do budoucna. Kazdopadne, kdyz se podivate sam na sebe, sam jste priznal, ze temto komentarum verite. Musim priznat, ze se Vam divim, kdyz uz zpochybnujete odbornost tohoto clanku.
Odpovedim se nevyhybam, pouze nereaguji na vulgarni a urazlive prispevky. Co povazujete za vecne fakty v techto komentarich? Ze jsem si mel vybrat jinou skolu? Muzete mi je prosim citovat? Ja se ze sebe nesnazim delat odbornika, pouze jsem chtel upozornit na zoufaly stav soucasnych webhostingu, kde ty nebezpecne stale prevazuji nad bezpecnymi. -
Ohledne alibismu slo o to, ze duvod neuvedeni techto jazyku nebyla skutecnost, ze bych si netroufal, ale ze to nemam zapotrebi, proto to ohrazeni.
Co Vam na tom prijde irelevantni. Pokud se osobne povazuji za odbornika v tom, co delam, pak neni duvod se Vam nepredstavit, coz jsem ucinil. Pokud se zde ale za odborniky povazuji i diskutujici ctenari, nevidim duvod, proc by se i oni nemeli prokazovat svymi zkusenostmi/vzdelanim a namisto toho se schovavat za anonymitou internetu. Proc asi? -
1. Ano, tento utok je popisovan. Nikde ale neni zminka o tom, ze by ovlivnoval direktivu open_basedir, coz jste zpochybnoval.
2. Sam jste uvedl, ze funkci obchazejicich restrikce direktivy open_basedir je cela rada, proc bych si tedy nemohl vybrat prave tuto? Bylo na ni mozne demonstrovat praci serveru Apache s priponami, tak proto, osobne mi to tedy jako zahada neprijde.
3. Ano, takto definovana veta omyl je, to uznavam. Co se tyce klamani funkce getimagesize(), neurazte se, ale co kdybyste si to namisto mavani zdrojovym kodem vyzkousel? Podle obsahu zminovana fce typ souboru rozhodne nerozlisuje, pokud zfalsuji hlavicku (konkretne MIME typ), pak pres tuto kontrolu prejde i skript s obsahem "Hello World!" a PHP jej bude slepe povazovat za obrazek.
Verte mi (dokonce bych se s Vami i vsadil), ze z oblasti bezpecnosti webovych aplikaci byste mi nemel co nabidnout, natoz na verejne pristupne prednasce, i kdyz Vase kvality nezpochybnuji.
Na spusteni noveho serveru se rovnez tesim. -
Nebot jsme se s redakci dohodli na tomto univerzalnejsim zpusobu, kdy si budou schopni uzivatele zkontrolovat stupen zabezpeceni na urovni PHP sami.
Druhym odstavcem pouze dokladate naprostou neznalost penetracnich testu. Kdyz uz neverite mne, najdete si nekoho jineho, kdo penetracni testy provadi a on Vam to s radosti vysvetli. Zadnou mlcenlivost nepodepisuji, jednoduse se zeptate, zda je zakaznik ochoten figurovat v referencich a pokud si tak nepreje, je slusnosti jeho prani respektovat, byt by na to nemel pravo. Ono je snazsi presvedcit spolecnost o reference, kdyz jim dodavate okurky, nez kdyz se Vase spoluprace tyka tak citliveho tematu, jako je bezpecnost. -
Slovickareni povazuji za ubohe, ale na to jsem Vas jiz upozornoval. Ktere terminy si v clancich pletu, muzete me prosim citovat?
Proc jste slovo "nahodne" v tretim odstavci ohranicil uvozovkami, nechapu. I kdyby se jdnalo o garazovky, je to snad jasny dukaz toho, kolik nebezpecnych webhostingu je na internetu provozovano a ze ma tento serial smysl.
ad rozdil v utoku oproti penetracnim testum
Ta poznamka v clanku ma sve opodstatneni. V pripade jakychkoliv bezpecnostnich auditu neni vzdy pravidlem jednat jako utocnik, nebot to podminky v mnoha pripadech ani nedovoluji, zde tomu tak ale je, a proto na to byli ctenari upozorneni.
Dosly argumenty, tak si opet vymyslite? Jak muzete vedet, co autor zna a co ne? Clanek se zminuje o behu PHP v podobe modulu a CGI procesoru z toho duvoud, ze jsou tyto dva zpusoby nejbeznejsi a jsem zvedav, jakymi argumenty se mi toto tvrzeni pokusite vyvratit. Nikde nevyzaduji nejnovejsi verzi jadra, nybrz PHP (v tom je rozdil, vite?). Co se tyce jadra, uvedl jsem, ze by melo byt "novejsi nez", nikolvi "nejnovejsi", jak jste si vymyslel.
Vy povazujete diskutujici ctenare pod clankem za odborniky? V tom pripade mate "nepatrne" zkreslenou predstavu. Odbornik by se pod sve prispevky podepsal jmenem, nemel by se totiz za co stydet, proc zde tedy ti Vasi odbornici diskutuji anonymne?
Neomezuji se na konkretni, nybrz nejrozsirenejsi pripady a nasazeni. Pokud tou rozmanitosti mate na mysli minoritni anomalie, tak Vam nic nebrani v tom, abyste o nich napsal clanek nebo serial, co rikate?
ad 3. dil
Co je podle Vas "omezena perspektiva"? Nejbeznejsi konfigurace verejnych webhostingu? To si malinko protireci, nemyslite?
Na bezpecnost neni nikdy pozde, ale to Vy, jako "uznavany odbornik", jiste vite.
Jak vite, co ma a co nema obecnou platnost pro laickou verejnost? Nejprve mi vycitate prilisnou strucnost a nyni me vyzyvate, abych psal jeste obecneji?! Tak se rozhodnete.
Ano, u PHP shellu se nejedna o zadne velke prekvapeni, ty zna naprosto kazdy, kdo vyuziva sluzeb webhostingu, ze?
Vy po mne chcete, abych ucil ctenare konfigurovat suhosin patch a firewall mod_security? A co treba rovnou instalovat selinux a zrizovat chroot, aby nam tech garazovek jeste pribylo?
K diskuzi se opetovne vyjadrovat nehodlam, jiz nekolikrat jsem upozornoval na to, ze jsem nikdy nikoho urazet nezacal a arogantne se zde chova nekdo uplne jiny.
Reagovat jsem prestal proto, nebot to k nicemu nevedlo, s reakci naopak vychazim velice pohodove. Kdyz jsem neco vysvetlil, bylo to k nicemu, nepomohlo ani durazne opakovani a jakmile dosly lidem argumenty, zacali me tahat za slova. To mi prijde smesne a zbytecne se k necemu takovemu vyjadrovat.
ad "Jak si autor vysvetluje temer nulove mnozstvi kladnych reakci v diskuzi je zahadou"
Kladne reakce mi chodi na mail a na icq, coz me tesi. Vetsina spokojenych ctenaru nema potrebu si v diskuzi neco dokazovat a prinejmensim je natolik slusna, aby se vyvarovala vulgarnim prispevkum. Kdybyste studoval a znal lidske smysleni, vedel byste, ze pokud se najdou v diskuzi ctenari, kteri kritizuji, malokdo se odvazi jit proti proudu a chvalit, ostatni by jej totiz "sezrali za ziva", proto mi kladne reakce chodi jinym zpusobem. Staci tedy trosku premyslet a vyse uvedenou zahadu si dokazete vysvetlit sam i bez moji pomoci.
ad "...VSE nebo o VSMIE ci neco uplne jineho nevime"
Nevite, protoze je to irelevantni a v kontextu s anonymimi prispevky zde diskutujicich ctenaru naprosto smesne.
ad "nema jedinou firmu kterou je ochoten predat jako referenci"
Proc se vyjadrujete k necemu, cemu nerozumite? O tomto nerozhoduji ja, nybrz zakaznik. Pokud si nejaka spolecnost nepreje byt vedena v referencich, tak to respektuji a parta anonyminich uzivatelu kdesi na lupe na tom nic nezmeni.
Co ma skutecnost, zda jsem byl nekdy zamestnan na plny uvazek nebo jsem drzitelem zivnostenskeho opravneni spolecneho s bezpecnosti webhostingovych serveru? Muzete me prosim poucit? Stejne tak nizkourovnove jazyky. Pokud neumim dobre programovat v assembleru, nesmim provadet penetracni testy webovych aplikaci, to jste tim chtel rici?
Nenapsal jsem, ze si ostatni jazyky "netroufam" dat do CV, nybrz ze nejsem alibista, abych tak jednal, opet si vymyslite, vyraz "dle vlastnich slov" mel byt tedy co? Vtip?
Troufalost psat podobny clanek mi davaji zkusenosti a ty mi rozhodne nechybi, coz se o zde diskutujicich ctenarich rici bohuzel neda.
Kazdy portal ma sve priznivce i odpurce, kdybyste nekdy nektery vlastnil, sam byste to vedel. Osobne se za sve vystupovani na SOOM.cz nestydim, nejsem typ cloveka s predsudky, vytvarim si vlastni nazory.
Autor pouzivany webhosting vysvetluje hlavne tim, ze kritizovat by se dal kazdy server, tak proc ne ten, za ktery neplatime? -
ad 1: Tak to asi umim carovat :) Ovlivnuje direktivu safe_mode, nenapsal jsem open_basedir. U direktivy open_basedir jsem uvedl, ze je jedno, co obsahuje, nikoliv, ze ji tato zmena ovlivnuje.
ad 2: Motivace byla tedy jina, bezpecnosti riziko zustalo.
ad 3: Na zaklade obsahu souboru se zminovana funkce nerozhoduje, jedinym ukazatelem pro ni je mime typ. Ten vsak neni pro utocnika problem zfalsovat a podstrcit dynamicky skript s falsenym typem a pokud je konrola zalozena i na whitelistingu, pak jednoduse pripojit suffix .jfif. Nasledek je jasny snad vsem. Tohle ve Vasi prednasce nemate?
Diky za pozvani, ale tento serial se nezabyval bezpecnosti webovych aplikaci, nybrz serveru.
PS: Gratuluji -
Co je na tom spatneho, ze ve svem profilu uvadim portal SOOM.cz jako homepage? Kdybych uvedl pentester.cz spousteny za 14 dni, byl byste pak spokojenejsi? Naopak byste mi ted tady nadaval, ze cely serial nebyl nic jineho, nez pouha reklama.
Pomoci spatne konfigurace vyse uvedenych direktiv lze pristupovat k datum cizich uzivatelu, systemovym slozkam, obchazet restrikce,... a Vam to prijde nepodstatne?
Bezpecnost je zajiste nutno brat v kontextu souvislosti, cilem tohoto serialu vsak bylo seznameni se s bezpecnosti na urovni PHP, o kterou se soucasne webhostingy silne opiraji a ctenari na to byli upozorneni, hned nekolikrat.
ad safe_mode_gid
Dalsi priklad lenosti spravcu serveru. Namisto komplexnejsi konfigurace radeji tuto direktivu aktivuji a maji po problemu za 5 vterin, ze? Co to udela s bezpecnosti je jiz tolik netrapi.
ad posledni odstavec
Vy si samozrejme muzete pouzivat cokoliv a ja budu ten posledni, kdo Vam to bude vyvracet, nebot jsem rad, ze mate predstavu o idealne zabezpecenem webhostingu. Tento serial se ale zabyva realitou (webhostingy), nikoliv predstavami (zde diskutujici ctenari). -
ef (neregistrovaný)Nez jsem byl upozornen, ze autor ma ve svem profilu hned dvakrat zminenou domenu soom.cz, tak jsem se docela divil. Ale tohle to vysvetluje.
U dvou predchozich clanku jsem se hodne drzel, abych nejaky komentar nenapsal, tenhle to dovrsil. Cely tenhle serial dokazal jednu vec - lide, kteri skutecne nemaji ani poneti o bezpecnosti, si pujdou slepe overit, co ten jejich hosting vlastne ma nastaveno a bud ho hned z fleku vymeni, nebo s tim budou alespon otravovat technickou podporu, a to bez toho, ze by to bylo jakkoli opodstatneno. Bezpecnost je trochu neco jineho, nez jit slepe krok po kroku "tohle musi byt off, tohle musi byt on, tady musi 'neco' byt a nespecifikuju co, ale hlavne aby to bylo 'neco'". Proc by tam ty volby byly, kdyby bylo predem jasno, co je spravne nastaveni? Bezpecnost je tak nejak nutno brat v kontextu souvislosti.
Kuprikladu safe_mode_gid... proc je to podle vas spatne? Vzhledem k chovani setgid bitu na adresarich muze byt obcas na sdilenem hostingu s mod_php naopak mnohem lepsi pouzivat gid nez uid. Soubory, ktere budou vytvoreny na disku, bud primo, nebo napriklad pres vami obavany copy, podedi skupinu toho, kdo vlastni adresar, a mame tak nejak po problemu. Dokonce se do toho souboru pak i z PHP se zapnutym safe_mode_gid znovu dostaneme.
Proc nejde brat hosting nepouzivajici open_basedir za bezpecny? Pokud pouzivam mod_fcgid+suexec alternativu, pak kuprikladu nevidim duvod, proc open_basedir pouzivat, a presto i tak mam vysledny system mnohem bezpecnejsi nez cokoli, co se da vytvorit pres mod_php at kouzlite s direktivami sebevic. Izolace pomoci OS je neco trochu silnejsiho, nez izolace kterou vytvari PHP.
Totez disable_functions, samozrejme. -
Aleš (neregistrovaný)"Vim velice dobre, co znamena alibista..."
Prostě jste do životopisu neuvedl to, v čem se nevyznáte. Nemyslíte, že si prozměnu hrajete se slovíčky vy?
-- anonymni diskuze
Právě ta je podle mě velmi dobrý způsob jak se udržet u tématu, kterým článek a odborná způsobilost autora samozřejmě jsou. Pokud by se každý diskutující představil, určitě by jste změnil téma hovoru na vzdělání čtenářů což je irelevantní (na rozdíl od vašeho vzdělání a praxe).
I anonymní čtenáři zde mají velmi trefné připomínky proti kterým byste měl argumentovat věcně (pokud argumenty máte) nebo uznat, že jste v některých věcech přestřelil. Neodpovědět z důvodu, že nevíte kdo se ptá značí jen to, že vám argumenty chybí. -
anonymníAni ne. Abych to vzal analogicky (ostatne vase analogie se zemedelcem a jeho bramborovym polem v tomto dile ve mne zanechala hluboky dojem), pekar nemusi pect zrovna rohliky a pritom porad vi, jak to v oboru pekarstvi probiha... P.S.: Rad bych, aby byla zodpovezena (a nezapadla) tato otazka zde v diskuzi
-
eGo (neregistrovaný)Jesus maria - clovece - nastav si nekdy nejaky webhosting. Frflat neco o "identifikatoru" (cili o uzivateli, ktery soubor vlastni) a nevedet, ze bez suexecu zadny webhoster nebude existovat, je nesmysl. Proc se neukazes u me na stroji. Prisaham, ze ti tam dam i shell. Dyt to je podstata unixu. MULTIUZIVATELSKY SYSTEM! Ne nejaky Wydlous!
Virtualhost je jenom jedno z vyuziti. A 640 na /etc/passwd byl vazne vysmech. Linux distro nebo BSD je v defaultu nastavene docela dobre a jeste NIKDY v zivote jsem nevidel nekoho, kdo by se dokazal "nabourat" do stroje a prevzit jeho kontrolu jako root. Jestli na to mas, tak se ukaz. Jestli mas jenom na to blbe plkat a chces si psat svoje super secure PHP skripty from scratch, tak si radsi nainstalluj core Joomlu! a zabyvej se tim, ze do 12 hodin od reportu chyby je nova verze a opraveno. -
- (neregistrovaný)Ejhle, "ekonomická informatika" zabralo. http://is.mendelu.cz/lide/clovek.pl?id=30740 Systémové inženýrství a informatika (PEF) Bakalářský typ studia, prezenční forma Ekonomická informatika, 1. ročník / 1. semestr studia Škola, kterou člověk studuje, je určité vodítko, stejně jako reference. Čas Vám platil Internet Info, s.r.o. a tisíc korun na měsíc webhostingu u (nejen) deseti českých firem by nepochybně za seriál několika kvalitních článků nabídli taky, nebo byste je mohl investovat ze svého (být autorem kontroverzních článků na Lupě by Vám přineslo mnoho klientů). Omáčkou na sotva jeden článek, roztahanou do tří, jste pouze promarnil šanci a zaplnil Lupě okurkovou letní sezónu.
-
Aleš (neregistrovaný)Ano, proto se ptám, zda by na tom něco změnilo zlehčování ze strany některého skutečného, neanonymního odborníka?
Souhlasíte, že tyto konfigurační direktivy je možné ošetřit jiným způsobem, aby zneužití možné nebylo? Případně které se jinak ošetřit nedají?
A uvedete skutečnou realitu českých webhostignů nebo se budu muset smířit s vaší představou? -
Aleš (neregistrovaný)ad 2) Jaký mají vaše informace význam? Jak mi mají pomoct při výběru webhostingu?
(Jediný význam by měli právě v případě uvedení statistiky jaký podíl serverů má tyto direktivy nastavené správně a jaký špatně a kolik z nich má zabezpečení řešeno jiným způsobem než těmito direktivami. Nemyslíte?)
ad 3) Mě nezajímají představy, ale právě realita. Napište prosím místo úvah nad tím jak hluboce jsem vámi ovlivněn jaká je realita (včetně důkazů). Děkuji.
A že jsem tak zvědavý, proč jste článek psal, když ne proto, aby jste někoho poučil? -
Přezdívka (neregistrovaný)Dvě poznámky:
Pokud mi někdo bude dělat "bezpečnostní audit" serveru, tak s ním chci mít uzavřenou smlouvu (pokud nejde o kamaráda a odměnou není "flašku" nebo třeba rok webhostingu zdarma). Pokud mám s někým smlouvu, pak nemůže pracovat načerno a tudíž je pro mě výhodnější dostávat faktury a cenu si dát do nákladů. Uzavírat smlouvy s "normálními zaměstnanci" (ať už v jakékoliv podobě) je vždy dražší (daně, administrativa) než spolupracovat s podnikatelem (firmou nebo živnostníkem).
Vím o jednom webhostingu, se kterým jste spolupracoval. Před Vaší prací byl server relativně bezproblémový, byť s ne zcela správně zabezpečeným PHP. Po Vašem "auditu" začali správci (nebo Vy) bez upozornění během jediného dne drasticky měnit konfiguraci, především vypínat a zakazovat různé funkce a nastavení, čímž způsobili nedostupnost mnoha stránek. Nejspíš jste jim zapomněl říci, že se Apache při načítání souborů .htaccess kousne s chybou "Internal server error" (pro celý adresář a podadresáře) pokud v něm najde například:
- ifmodule mod_php5.c>
php_value register_globals 0
-/ifmodule>
(Původně bylo na webhostingu zapnuto, čili v rámci bezpečnosti alespoň mých skriptů je logické si toto "vylepšení" vypnout).
Poznámka k Vaší volbě školy:
Pracovat se dá i při studiu mnohem prestižnějších (záměrně nepíšu lepších) škol - jaké jsou přesně projekty, kvůli kterým obětujete vzdělání? -
Aleš (neregistrovaný)S tím bych nesouhlasil. Myslím, že kolega se snažil upozornit na to, že všechny direktivy o kterých se zmiňujete je možné ošetřit i jinou cestou. Proto posuzovat pouze podle jejich nastavení je (přinejmenším) zavádějící.
Váš argument, že je běžnou praxí tyto další utility neinstalovat, je bez uvedení statistiky jenom větou bez důkazu. -
- (neregistrovaný)Autor nestuduje na žádné z těchto škol:
- UK
- VŠE
- ČVUT
- MUNI
(u ostatních je problém ověřit, protože databáze studentů jsou buď neveřejné nebo neexistují). Pravděpodobně se ale bude jednat o školu soukromou s nevalnou úrovní, na každé jiné by ho totiž za několik stran obecných žvástů bez zdrojů a konkrétních příkladů poslali někam.
Také jsem se zdržel komentářů po předchozí dva díly, ale tentokrát si neodpustím. Autor je mírně mimo, bezpečnost není o pár nastaveních, navíc by si při studiu ekonomie měl uvědomit - garážový webhosting za jedno pivo měsíčně bude mít nízké zabezpečení (do slušného se nevyplatí investovat). Co takhle předvést něco skutečného? Zaplatit si třeba webhosting u deseti českých firem a zkoumat, jak jsou servery (ne)zabezpečené, jak technická podpora na odhalené chyby reaguje a jaký je poměr cena / bezpečnost? -
Aleš (neregistrovaný)Ano, psal a naprosto souhlasím. Proto vás žádám (po několikáté) ať uvedete, jaká je realita (ne jaká je vaše představa o realitě). Kolik serverů jste testoval, jaký to byl podíl trhu a jak procentuálně dopadli v jednotlivých direktivách? Dotazoval jste se provozovatelů, zda jsou špatně nastavené direktivy ošetřeny jinými prostředky? Dopadly lépe servery velkým poskytovatelů nebo spíše garážová řešení?
Já nevím jaká je realita, ale v článku (ani v diskuzi) jsem nenašel žádný důkaz o tom, že to víte vy.
"To same bych mohl rici i ja o jakemkoliv samozvanem odbornikovi zde v diskuzi."
Ano, můžete, ale to není předmětem diskuze. Samozvaní odborníci tu nepíší článek (který je nutné opřít o něčí odbornou autoritu), ale pouze vznášení dotazy a mnohdy oprávněné (ano, šlo by to napsat i lépe, abyste se nemusel urážet).
Přiznejte na rovinu, když se tu nějaký skutečný odborník podepíše k názoru, že článek je neúplný, zavádějící a na lupě nemá v takové podobně co dělat... uznáte svojí chybu? -
Michal Kára (neregistrovaný)Musim se priznat, ze mi stale unika smysl clanku.
Pokud mel upozornit na bezpecnostni problemy webhostingu, pak v nem chybi naprosto zasadni informace a to zhodnoceni rozsirenosti nebezpecne nakonfigurovanych webhostingu. A tim nemyslim "zkusil jsem dva webhostingy a na oba jsem se dostal". Bez tohoto je to pouze vykrik "Nektere webhostingy jsou spatne nakonfigurovane!", coz mi prijde na trojdilny serial ponekud malo.
Jestlize mel byt voditkem pro vyber hostingu, tak z tohoto pohledu je rovnez bezcenny. Splneni spravneho nastaveni uvedenych direktiv neznamena, ze webhosting je bezpecny a naopak jejich nesplneni neznamena, ze je nebezpecny, protoze bezpecnostni rizika mohou byt podchycena jinak. -
hm (neregistrovaný)Hm, taky u svýho vidim: upload_tmp_dir: /tmp
Určitě ale existuje mnoho příruček a doporučení, a webhosteři by se s nima měli sesnámit před tim, než začnou webhosting nabízet. Často je to ovšem amatéřina, no...
Nicméně bych taky zmínil přístup k downloadu/uploadu dat, příp. různých administrací a auto správy dat. Mnoho hostingů, i dražších, nebo dokonce těch s nejvíce zákazníky nenabízí SSL/TLS, příp. SSH, a to hlavně u FTP či POP3. U menších už se to začíná rozšiřovat, ale ignorance větších je fascinující. Zákazníci by se měli probudit a v tomhle případě si o takovej hosting ani neotřít boty.
ČLÁNKY DO MAILU