Список форумов DOMEN.com.ua DOMEN.com.ua
информационно-технический форум провайдера DOMEN.com.ua
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

THIS SITE IS OUTDATED AND NOT SUPPORTED ANYMORE
PLS USE OUR WIKI INSTEAD

Безопасность сайта. Как запретить скрипту гулять по сайту?

 
Начать новую тему   Ответить на тему    Список форумов DOMEN.com.ua -> Вопросы программирования
Предыдущая тема :: Следующая тема  
Автор Сообщение
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 12:59    Заголовок сообщения: Безопасность сайта. Как запретить скрипту гулять по сайту? Ответить с цитатой

Скрипт на php запущенный в субдомене может свободно ходить по сайту, выходить из своего субдомена и создавать, редактировать и удалять файлы в других открытых директориях, например, в других субдоменах.

Как ограничить скриптам на php и пр. cgi возможность гулять по сайту, т.е. запретить им выходить из директории субдомена - ближе к корню, и разрешить доступ для них только в директории и в поддиректориях своего субдомена - подальше от корня?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алексей
Помогу чем смогу


Зарегистрирован: 03.10.2003
Сообщения: 2133
Откуда: Украина, Харьков

СообщениеДобавлено: Пн Авг 25, 2008 13:19    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

BigFX писал(а):
Как ограничить


Этого НИКАК не ограничить на 100%.
Имеющий доступ к части эккаунта потенциально имеет доступ ко всему эккаунту - причём эти права полные: на удаление\изменение в т.ч.

Именно поэтому, если проекты разные, то для них приобретаются отдельные хостинг-эккаунты.
Это безопасный способ работы с разными проектами.
_________________
С уважением,
Алексей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 15:14    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

Ткаченко Алексей писал(а):
BigFX писал(а):
Как ограничить


Этого НИКАК не ограничить на 100%.
Имеющий доступ к части эккаунта потенциально имеет доступ ко всему эккаунту - причём эти права полные: на удаление\изменение в т.ч.

Именно поэтому, если проекты разные, то для них приобретаются отдельные хостинг-эккаунты.
Это безопасный способ работы с разными проектами.


Собственно проект один, но крупный и разбит с помощью субдоменов на отдельные категории и разделы.

Если бы планы у хостинг провайдеров были бы гибкими, тогда это было бы интересно. А в результате получается, что если брать раздельные хостинги, то в одном субдомене места хоть отбавляй, а в другом никаких квот не хватает (потому что все заранее не учтешь, особенно если наполнение сайта зависит от посетителей и их интересов). Тоже самое и по трафику. Я не говорю уже о том, что разбивка по мелким хостингам из-за того, что маленькие планы обходятся дороже, будет бить по карману и в результате проект может оказаться убыточным. Поэтому под крупный проект или несколько проектов выгоднее брать сразу большой план с достаточным запасом по пространству и трафику и делать основной сайт или сайты на одном хостинге + резервный дубликат на другом хостинге + управление DNS на третьем и четвертом. В этом случае и бекапинг, дампинг и управление проектом и затраты, как финансовые так и временные очень сильно сокращаются.

Еще один недостаток раздельного хостинга заключается в том, что невозможно создать единство php-сессий и глобальных переменных в рамках одного проекта. В результате посетители вынуждены будут заново логиниться, при переходе из одной части проекта в другую.

А так конечно же понятно, что хостинг провайдерам выгоднее, чтобы у них брали все по мелочам, нежели оптом. Это гораздо проще, чем обеспечивать безопасность хостинга своих клиентов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алексей
Помогу чем смогу


Зарегистрирован: 03.10.2003
Сообщения: 2133
Откуда: Украина, Харьков

СообщениеДобавлено: Пн Авг 25, 2008 20:05    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

BigFX писал(а):
Если бы планы у хостинг провайдеров были бы гибкими, тогда это было бы интересно.


Для этих целей есть реселлинг: там Вы сами решаете сколько и чего и какому именно из своих эккаунтов выделять.


BigFX писал(а):
Я не говорю уже о том, что разбивка по мелким хостингам из-за того, что маленькие планы обходятся дороже, будет бить по карману и в результате проект может оказаться убыточным.


На безопасность в мире тратятся миллиарды долларов.
Есть дешёвые решения, есть дорогие - всякие есть, только Вы выбираете что нужно именно Вам.
И в конечном итоге безопасность у Вас будет ровно такая, сколько Вы на неё готовы потратить.


BigFX писал(а):
Еще один недостаток раздельного хостинга заключается в том, что невозможно создать единство php-сессий и глобальных переменных в рамках одного проекта. В результате посетители вынуждены будут заново логиниться, при переходе из одной части проекта в другую.


Я думаю, что это просто вопрос программирования.
В любом случае, к безопасности среды хостинга это имеет опосредованное отношение..


BigFX писал(а):
А так конечно же понятно, что хостинг провайдерам выгоднее, чтобы у них брали все по мелочам, нежели оптом. Это гораздо проще, чем обеспечивать безопасность хостинга своих клиентов.


Конечно выгоднее.
Хотя, опять же, реселлинг (где можно сделать что Вы хотите) - это как раз и есть оптом, где будет дешевле.
Я ж говорю: только Вы сами и выбираете нужный Вам вариант.

А вот насчёт безопасности не соглашусь: то, что каждый скрипт одного эккаунта имеет полный доступ к своему (и только к своему) эккаунту - это нормально и правильно: 1 эккаунт - 1 системный пользователь - 1 доступ.

Это то, что понимается под безопасностью на уровне операционной системы и не хостинг-провайдер ведь это меняет...
_________________
С уважением,
Алексей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 20:37    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

Ткаченко Алексей писал(а):


BigFX писал(а):
Я не говорю уже о том, что разбивка по мелким хостингам из-за того, что маленькие планы обходятся дороже, будет бить по карману и в результате проект может оказаться убыточным.


На безопасность в мире тратятся миллиарды долларов.
Есть дешёвые решения, есть дорогие - всякие есть, только Вы выбираете что нужно именно Вам.
И в конечном итоге безопасность у Вас будет ровно такая, сколько Вы на неё готовы потратить.


Только не надо заниматься глобализацией и отвечать за весь мир. Если бы речь шла о сайте компании с многомиллиардными доходами, тогда вопрос бы не не ставился о хостинге через хостинг провайдера, а речь бы шла о собственном сервере с толстым каналом и весь спрос был бы не к этому самому хостинг провайдеру, а к собственной службе безопасности.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 20:55    Заголовок сообщения: Ответить с цитатой

Ясно пока только одно, что методами затыкания дыр через .htaccess и php.ini ограничить операции с файловой системой в пределах сайта для php скриптов практически невозможно. По крайней мере мне пока еще не удалось найти информацию о том, как это сделать.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 21:19    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

Ткаченко Алексей писал(а):
BigFX писал(а):
Если бы планы у хостинг провайдеров были бы гибкими, тогда это было бы интересно.


Для этих целей есть реселлинг: там Вы сами решаете сколько и чего и какому именно из своих эккаунтов выделять.


Задачу можно поставить проще, а именно:

Есть хостинг на котором установлена некая CMS. У CMS есть множество модулей, через которые хакеры потенциально могут войти и создать и запустить свой php (или какой другой) скрипт. Т.е. получат доступ к файловой системе сайта в пределах /public_html и всех ее поддиректорий. Таким макаром, любая лазейка в одном части сайта может открыть доступ ко всему сайту. Разнести модули CMS по отдельным хостингам невозможно по причине ее сложности и неделимости (проще создать свою CMS с нуля, затратив на нее разработку несколько человеко-лет).

Вопрос: если взломана некая часть сайта, то как защитить все остальные части он несанкционированного доступа?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алексей
Помогу чем смогу


Зарегистрирован: 03.10.2003
Сообщения: 2133
Откуда: Украина, Харьков

СообщениеДобавлено: Пн Авг 25, 2008 21:22    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

BigFX писал(а):
Только не надо заниматься глобализацией и отвечать за весь мир. Если бы речь шла о сайте компании с многомиллиардными доходами, тогда вопрос бы не не ставился о хостинге через хостинг провайдера, а речь бы шла о собственном сервере с толстым каналом и весь спрос был бы не к этому самому хостинг провайдеру, а к собственной службе безопасности.


Цитирую: "И в конечном итоге безопасность у Вас будет ровно такая, сколько Вы на неё готовы потратить.".
Причём, отметьте, это верно как для корпораций, так и для частников.

Кто такие "Вы" в данном контексте и "сколько готовы" - это уж решайте для себя самостоятельно, я лишь могу предложить имеющиеся в наличии варианты.
_________________
С уважением,
Алексей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
BigFX
Участник


Зарегистрирован: 25.07.2008
Сообщения: 19

СообщениеДобавлено: Пн Авг 25, 2008 21:28    Заголовок сообщения: Re: Безопасность сайта. Как запретить скрипту гулять по сайт Ответить с цитатой

Ткаченко Алексей писал(а):
BigFX писал(а):
Только не надо заниматься глобализацией и отвечать за весь мир. Если бы речь шла о сайте компании с многомиллиардными доходами, тогда вопрос бы не не ставился о хостинге через хостинг провайдера, а речь бы шла о собственном сервере с толстым каналом и весь спрос был бы не к этому самому хостинг провайдеру, а к собственной службе безопасности.


Цитирую: "И в конечном итоге безопасность у Вас будет ровно такая, сколько Вы на неё готовы потратить.".
Причём, отметьте, это верно как для корпораций, так и для частников.

Кто такие "Вы" в данном контексте и "сколько готовы" - это уж решайте для себя самостоятельно, я лишь могу предложить имеющиеся в наличии варианты.


На самом деле, еще раз прочтите свой же собственный первый ответ в данном топике и убедитесь, что на самом деле Вы ничего не можете предложить, кроме пустопорожних бесед.

Давайте поступим проще? Вы предложите что либо конкретное в плане защиты сайта и называете не менее конкретную цену. А уж глядя на цену и предложение можно будет прикидывать, стоит ли овчинка выделки или нет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Алексей
Помогу чем смогу


Зарегистрирован: 03.10.2003
Сообщения: 2133
Откуда: Украина, Харьков

СообщениеДобавлено: Пн Авг 25, 2008 22:23    Заголовок сообщения: Ответить с цитатой

Чтобы что-то предлагать, есть официальные каналы.
А здесь же форум - Вы спрашиваете, Вам отвечает кому интересно с Вами поговорить.

Если ответ не устраивает и не хотите его слышать, то зачем вообще спрашиваете ?
_________________
С уважением,
Алексей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
shade
Участник


Зарегистрирован: 07.10.2005
Сообщения: 37
Откуда: Житомир

СообщениеДобавлено: Пн Авг 25, 2008 22:56    Заголовок сообщения: ИМХО Ответить с цитатой

шо за демагогия? Smile)

создал|спроектировал|сделал дыру - и хочешь ее обойти? Smile) BigFX, твой вопрос из ряда "ИРАК ИЛИ ИРАН?"... не нужно садить шибко умного клиента на поддомен... это скорее вопрос не сервера и хостинга, а конкретных мозгов Smile
_________________
малеватель-кодирователь
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов DOMEN.com.ua -> Вопросы программирования Часовой пояс: GMT + 2
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group
Русская поддержка phpBB

Anti Bot Question MOD - МОД для phpBB против Спамботов