Реклама на сайте Advertise with us

Trade Pulse все файлы 777

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63

Ссылка на сообщениеДобавлено: 27/05/12 в 23:38       Ответить с цитатойцитата 

Поставил себе TradePulse, но почему то на всех файлах права 777, как то это небезопасно, это так и должно быть?

0
 



С нами с 02.10.08
Сообщения: 36
Рейтинг: 5

Ссылка на сообщениеДобавлено: 28/05/12 в 17:08       Ответить с цитатойцитата 

не должно, всегда при установке выставлялись более строгие права.
сказал бы что не в установщике дело, но сегодня целый день сайт пульса вообще не открывается, как и форум. может опять его поламали

0
 



С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63

Ссылка на сообщениеДобавлено: 28/05/12 в 18:52       Ответить с цитатойцитата 

У меня и сайт и форум открывается, вот что мне там удалось найти по этому вопросу: forum.scriptpulse.com/index.php/topic,1461.msg5610.html#msg5610
They must be 777 otherwise script cant work since we use flat files for databases.

получается что так и должно быть.

0
 



С нами с 13.04.12
Сообщения: 156
Рейтинг: 103

Ссылка на сообщениеДобавлено: 28/05/12 в 19:25       Ответить с цитатойцитата 

777 права следует опасаться из-за дружественного взлома. то есть ломает другой сайт (но на этом же сервере) и получают возможность прописать/посмотреть/удалить файлы помеченные 777.
Для того чтобы это избежать, процесс должен выполняться от имени владельца домена (user01, etc). обычно же настроен один пользователь для всех процессов - apache

0
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 28/05/12 в 19:46       Ответить с цитатойцитата 

Да у всех скриптов, которые ставятся через инсталл скрипт в браузере , будут такие косяки с правами. Там иначе не выйдет.

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

0
 



С нами с 02.10.08
Сообщения: 36
Рейтинг: 5

Ссылка на сообщениеДобавлено: 28/05/12 в 22:16       Ответить с цитатойцитата 

потер.

Последний раз редактировалось: newuser76 (28/05/12 в 22:59), всего редактировалось 1 раз

0
 



С нами с 02.10.08
Сообщения: 36
Рейтинг: 5

Ссылка на сообщениеДобавлено: 28/05/12 в 22:47       Ответить с цитатойцитата 

только что поставил пульс - везде права 777 стали автоматом(кроме data -775 и variables.php - 666). бред какой-то, или внимание просто на это давно не обращал.

0
 

Soul's Buyer

С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740


Передовик Master-X (16.10.2008) Передовик Master-X (01.11.2008) Передовик Master-X (16.11.2008) Передовик Master-X (01.12.2008) Передовик Master-X (16.12.2008) Ветеран трепа Master-X (01.01.2009)
Ссылка на сообщениеДобавлено: 29/05/12 в 01:00       Ответить с цитатойцитата 

Stek писал:
Да у всех скриптов, которые ставятся через инсталл скрипт в браузере , будут такие косяки с правами

А чё у меня кристал и дтр встаёт с 777 только там, где надо, а остальное от 666 до 755 ?

0
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 29/05/12 в 08:09       Ответить с цитатойцитата 

Woland писал:
А чё у меня кристал и дтр встаёт с 777 только там, где надо, а остальное от 666 до 755

777 - всем запись на директорию
666 - всем запись на файл

Вообще пофигу на циферки прав. Смысл в том, что если скрипт устанавливался через инсталлятор в браузере , т.е. закачивался и потом апдейтится из админки, то вэб сервер имеет доступ к этим файлам. И соответственно любой троян сможет дописать в них свой код.

А у некоторых хостеров вообще настроено так, что скрипты запускаются под именем юзера и автоматом имеют полный доступ ко всем файлам в своей вэб директории. Им типа так секьюрней кажется smail101.gif

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

0
 



С нами с 13.04.12
Сообщения: 156
Рейтинг: 103

Ссылка на сообщениеДобавлено: 29/05/12 в 08:23       Ответить с цитатойцитата 

Stek писал:
А у некоторых хостеров вообще настроено так, что скрипты запускаются под именем юзера и автоматом имеют полный доступ ко всем файлам в своей вэб директории. Им типа так секьюрней кажется

не кажется, а так и есть.

Допустим есть сайт example1.com (пользователь user01) и example2.com (user02).
Хакер очень сильно заинтересован сайтом example1.com, так как на нем стоит биллинг. Но взломать его не может, ибо все очень секьюрно и по уму сделано. Тогда он ищет "дружественный" сайт, то есть сайт на этом же сервере и находит example2.com, который имеет херову кучу дыр. Дальше есть два сценария:
1. httpd работает от apache - пишем куда хотим
2. httpd работает от юзера - получаем фигу и довольствуемся только сайтом example2.com

0
 

www.phpdevs.com

С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105


Передовик Master-X (01.09.2005) Передовик Master-X (16.09.2005) Передовик Master-X (01.10.2005) Передовик Master-X (16.08.2006) Передовик Master-X (16.10.2006) Ветеран трепа Master-X ()
Ссылка на сообщениеДобавлено: 29/05/12 в 19:36       Ответить с цитатойцитата 

Wowa писал:
не кажется, а так и есть.

Допустим есть сайт


Допустим поставили дырявый плагин в вордпресс. Благодаря такой мега секьюрной настройке, через эту дырку можно изменить любой файл на аккаунте. И вместо поломанной директории вордпресса, мы получаем полностью поломанный аккаунт.

Цитата:
1. httpd работает от apache - пишем куда хотим

Давно не видел виртуалов, но даже лет 5 назад уже были решения данного вопроса, при том без запуска апача под правами юзера.

Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.

0
 

Soul's Buyer

С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740


Передовик Master-X (16.10.2008) Передовик Master-X (01.11.2008) Передовик Master-X (16.11.2008) Передовик Master-X (01.12.2008) Передовик Master-X (16.12.2008) Ветеран трепа Master-X (01.01.2009)
Ссылка на сообщениеДобавлено: 29/05/12 в 19:52       Ответить с цитатойцитата 

Stek: А виртуалы с биллингами у соседа ты давно видел ? trollface.png
Согласен, пример Wowa попахивает босоногим детством скрипт-кидиса smail101.gif

0
 



С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63

Ссылка на сообщениеДобавлено: 30/05/12 в 18:15       Ответить с цитатойцитата 

а где в трейдпульсе стата по ip?
что то не нахожу

0
 

ябудубудай

С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038

Ссылка на сообщениеДобавлено: 31/05/12 в 07:45       Ответить с цитатойцитата 

Привет! Скажите а где нибудь в скрипте можно почистить кэш?! Скрипт сам работает нормально, а вот в мульти админка собирает статистику либо долго либо не всю, и так раз через раз..

0
 



С нами с 13.04.12
Сообщения: 156
Рейтинг: 103

Ссылка на сообщениеДобавлено: 31/05/12 в 09:10       Ответить с цитатойцитата 

Woland писал:
Согласен, пример Wowa попахивает босоногим детством скрипт-кидиса

Я бы выразился незнанием, автора скрипта, работы веб-сервера.

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »