С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63
|
Добавлено: 27/05/12 в 23:38 |
Поставил себе TradePulse, но почему то на всех файлах права 777, как то это небезопасно, это так и должно быть?
|
|
|
|
С нами с 02.10.08
Сообщения: 36
Рейтинг: 5
|
Добавлено: 28/05/12 в 17:08 |
не должно, всегда при установке выставлялись более строгие права.
сказал бы что не в установщике дело, но сегодня целый день сайт пульса вообще не открывается, как и форум. может опять его поламали
|
|
|
|
С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63
|
Добавлено: 28/05/12 в 18:52 |
У меня и сайт и форум открывается, вот что мне там удалось найти по этому вопросу: forum.scriptpulse.com/index.php/topic,1461.msg5610.html#msg5610
They must be 777 otherwise script cant work since we use flat files for databases.
получается что так и должно быть.
|
|
|
|
С нами с 13.04.12
Сообщения: 156
Рейтинг: 103
|
Добавлено: 28/05/12 в 19:25 |
777 права следует опасаться из-за дружественного взлома. то есть ломает другой сайт (но на этом же сервере) и получают возможность прописать/посмотреть/удалить файлы помеченные 777.
Для того чтобы это избежать, процесс должен выполняться от имени владельца домена (user01, etc). обычно же настроен один пользователь для всех процессов - apache
|
|
|
|
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
Добавлено: 28/05/12 в 19:46 |
Да у всех скриптов, которые ставятся через инсталл скрипт в браузере , будут такие косяки с правами. Там иначе не выйдет.
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
|
С нами с 02.10.08
Сообщения: 36
Рейтинг: 5
|
Добавлено: 28/05/12 в 22:16 |
потер.
Последний раз редактировалось: newuser76 (28/05/12 в 22:59), всего редактировалось 1 раз
|
|
|
|
С нами с 02.10.08
Сообщения: 36
Рейтинг: 5
|
Добавлено: 28/05/12 в 22:47 |
только что поставил пульс - везде права 777 стали автоматом(кроме data -775 и variables.php - 666). бред какой-то, или внимание просто на это давно не обращал.
|
|
|
|
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
Добавлено: 29/05/12 в 01:00 |
Stek писал: | Да у всех скриптов, которые ставятся через инсталл скрипт в браузере , будут такие косяки с правами |
А чё у меня кристал и дтр встаёт с 777 только там, где надо, а остальное от 666 до 755 ?
|
|
|
|
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
Добавлено: 29/05/12 в 08:09 |
Woland писал: | А чё у меня кристал и дтр встаёт с 777 только там, где надо, а остальное от 666 до 755 |
777 - всем запись на директорию
666 - всем запись на файл
Вообще пофигу на циферки прав. Смысл в том, что если скрипт устанавливался через инсталлятор в браузере , т.е. закачивался и потом апдейтится из админки, то вэб сервер имеет доступ к этим файлам. И соответственно любой троян сможет дописать в них свой код.
А у некоторых хостеров вообще настроено так, что скрипты запускаются под именем юзера и автоматом имеют полный доступ ко всем файлам в своей вэб директории. Им типа так секьюрней кажется
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
|
С нами с 13.04.12
Сообщения: 156
Рейтинг: 103
|
Добавлено: 29/05/12 в 08:23 |
Stek писал: | А у некоторых хостеров вообще настроено так, что скрипты запускаются под именем юзера и автоматом имеют полный доступ ко всем файлам в своей вэб директории. Им типа так секьюрней кажется |
не кажется, а так и есть.
Допустим есть сайт example1.com (пользователь user01) и example2.com (user02).
Хакер очень сильно заинтересован сайтом example1.com, так как на нем стоит биллинг. Но взломать его не может, ибо все очень секьюрно и по уму сделано. Тогда он ищет "дружественный" сайт, то есть сайт на этом же сервере и находит example2.com, который имеет херову кучу дыр. Дальше есть два сценария:
1. httpd работает от apache - пишем куда хотим
2. httpd работает от юзера - получаем фигу и довольствуемся только сайтом example2.com
|
|
|
|
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
Добавлено: 29/05/12 в 19:36 |
Wowa писал: | не кажется, а так и есть.
Допустим есть сайт |
Допустим поставили дырявый плагин в вордпресс. Благодаря такой мега секьюрной настройке, через эту дырку можно изменить любой файл на аккаунте. И вместо поломанной директории вордпресса, мы получаем полностью поломанный аккаунт.
Цитата: | 1. httpd работает от apache - пишем куда хотим |
Давно не видел виртуалов, но даже лет 5 назад уже были решения данного вопроса, при том без запуска апача под правами юзера.
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
|
Soul's Buyer
С нами с 16.11.05
Сообщения: 12702
Рейтинг: 10740
|
Добавлено: 29/05/12 в 19:52 |
Stek: А виртуалы с биллингами у соседа ты давно видел ?
Согласен, пример Wowa попахивает босоногим детством скрипт-кидиса
|
|
|
|
С нами с 20.03.10
Сообщения: 1460
Рейтинг: 63
|
Добавлено: 30/05/12 в 18:15 |
а где в трейдпульсе стата по ip?
что то не нахожу
|
|
|
|
ябудубудай
С нами с 20.02.07
Сообщения: 722
Рейтинг: 1038
|
Добавлено: 31/05/12 в 07:45 |
Привет! Скажите а где нибудь в скрипте можно почистить кэш?! Скрипт сам работает нормально, а вот в мульти админка собирает статистику либо долго либо не всю, и так раз через раз..
|
|
|
|
С нами с 13.04.12
Сообщения: 156
Рейтинг: 103
|
Добавлено: 31/05/12 в 09:10 |
Woland писал: | Согласен, пример Wowa попахивает босоногим детством скрипт-кидиса |
Я бы выразился незнанием, автора скрипта, работы веб-сервера.
|
|
|
|