 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 18.04.2024 - 11:08:55
Помогите с настройкой форума| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
Maksir •
M Участник форума
|
Цитата: | А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных |
Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.
Цитата:| Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно. |
Дайте ссылку на свой пост.
Цитата:| Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе |
У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?... 
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!
Цитата: Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.
|
Безопасность системм Windows и Unix? :)
Цитата:
Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.
|
Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix. Ничто не мешает ядро пересобрать без сетевой поддержки. Просто, смысла в этом нет - нет такой необходимости в целях безопасности.
Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.
Цитата:| Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine |
Давайте без "настроить" поговорим. Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.
Цитата:| Если дыра в процессе, который работает по рутом - еще как может. |
По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.
| |
|
| Сообщение # 97 |
13.05.08 - 14:31:26
|  |
Maksir •
M Участник форума
|
Цитата: | Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию. |
Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.
Вот текст:
Цитата:| сначала, предполагается, что Вы используете производную UNIX операционная система, которая является способной к setuid и setgid операции. Все примеры команды даются в этом отношении. Другие платформы, если они способны к поддержке suEXEC, могут отличаться по их конфигурации |
Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html | |
|
| Сообщение # 98 |
13.05.08 - 15:26:37
| |
Rootman •
R гость
|
Цитата: Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.
|
А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие.
Цитата: Дайте ссылку на свой пост.
|
Форум не позволяет давать ссылок на одиночные сообщения, поэтому процитирую:
Сообщение # 63.
Права nobody нужны чтобы сервер не работал и не выполнял файлы с правами их владельца а имел к ним доступ только как "все остальные", иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно. Когде-же вы это наконец поймете. В том же случае, о котором я говорю, взломщик может получить доступ лишь к файлам, доступным для записи. Изменить или удалить остальные файлы он обломится.
Цитата: У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?...
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!
|
В Винде вообще-то все EXE-файлы - бинарники, али вы не знали? Нет, я конечно понимаю что вы можете создать на диске файл с расширением EXE и вписать туда любую глупость, однако глупо отрицать очевидное, в Винде exe-файлы - бинарники. Это вы как всегда Винду с Юниксом попутали в котором бинарные файлы обычно без расширения.
Цитата: Безопасность системм Windows и Unix? :)
|
Именно. И как так насчет безопасности ядра Винды и ядра Линукса? Повторяю ядра а не программ.
Цитата: Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix. |
TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости. TCP/IP именно протокол, который предоставляет доступ в сеть, поскольку это протокол транспортный, в отличие от всяких HTTP, FTP итд, которые являются прикладными протоколами.
Цитата:| Ничто не мешает ядро пересобрать без сетевой поддержки. |
Ну попробуйте, пересоберите его без поддержки TCP/IP.
Цитата: Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.
|
А в Виндах - часть ядра. И никто не мешает написать модуль поддержки SMB для ядра Линукса, просто смысла нет.
Цитата: Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.
|
У меня на сервере тоже нет, а если появляется антивирусник их тут же удаляет. В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы.
Цитата: По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.
|
Любезный, полностью безопасных систем не бывает впринципе, самая безопасная система - выключенная из розетки и запертая в сейф, да и то, при желании из сейфа утащить могут.
Насчет того, что якобы нет дыр, почитайте хоть один сайт по безопасности, хотя бы общеизвестный bugtraq.ru. Вот сейчас захожу и сразу на первой странице читаю "25-летний баг в BSD". Кстати, вы в Линуксе каким браузером пользуйтесь, не Mozilla случаем? Тогда получайте http://bugtraq.ru/review/archive/2007/26-07-07.html с того же сайта.
Цитата: Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.
|
Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid.
Нет, ну что за линуксоид нынче пошел, совсем мануалы разучился читать. Нет бы набрать man setuid прежде чем что-то утверждать.
Цитата: Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html |
Ну да, Виндовс не поддерживает suexec, там все скрипты и файлы выполняются и читаются с теми правами, под каким пользователем запущен сервер. Укажите в планировщике заданий запускать сервер под пользователем "ВасяПупкин", будет под ним выполнять. | |
|
| Сообщение # 99 |
14.05.08 - 06:35:23
| |
Maksir •
M Участник форума
|
Цитата: | А причем здесь WR-форум? Я вам говорю что разработчики phpBB |
Есть существенная разница.
Цитата:| иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно |
Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные". Обработчик PHP сам выдаст результат через сценарий, который вы программируете.
[BR] 2. [/BR] Если я ограничиваю права для "Всех остальных", то я знаю, зачем это делаю. Но вы, никак не поймёте и упираетесь на какой-то взлом системмы... Причём здесь "взлом" и права которые я и без того ограничиваю?
Цитата:| TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости. |
Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...)
Цитата:| Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid |
я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.
Цитата:| В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы. |
Это мнение самое распростронённое, но не имеет под собой никакого весомого аргумента.
Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS
И, этот список можно продолжать, и говорить о том, как скоро MacOS будет пользоваться большей популярностью, сколько угодно. Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем. В техническом представлении, получение прав Владельца, это не предстовляется возможным. В этом и состоит принцип передачи прав от пользователя-Владельца, Группой, а также Динамического распределения процессов. Чего нет в Windows.
Цитата:| Ну да, Виндовс не поддерживает suexec, |
я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно. Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные. | |
|
| Сообщение # 100 |
14.05.08 - 17:12:27
|
|
Maksir •
M Участник форума
|
Цитата: | А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие. |
Важно, что бы вы сами понимали для чего эти права нужны. А то в FAQ , которые вы мне давали, там вообще не указаны права - 666 .
Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?
И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql) | |
|
| Сообщение # 101 |
14.05.08 - 17:32:57
| |
Rootman •
R гость
|
Цитата: Есть существенная разница.
|
Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.
Цитата:| Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. |
Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который п | |
|
| Сообщение # 102 |
15.05.08 - 09:55:18
| |
Rootman •
R гость
|
Цитата: Есть существенная разница.
|
Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.
Цитата:| Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. |
Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который предлагаю я, скрипт выполняется с совершенно левыми правами типа nobody что собственно исключает возможность потенциальному взломщику получить доступ к изменению всех файлов, исключая тех, на которых высталвено "запись для всех остальных". В любом случае пусть взломщик убьет все файлы, доступные для записи, чем все файлы на сервере вообще.
Цитата:| Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные". |
Если у вас сервер работает без suexec, тогда все файлы выполняются с одинаковыми правами доступа, независимо от того, статический он или скриптовый. Вы мне мануал русский по suexec привели, почитали-бы чтоли с самого начала что там написано. Правда там корявый перевод, который делался программой переводчиком, однако смысл его вполне ясен.
Особенно это:
Однако, если suEXEC ненадлежащим образом формируется, это может вызвать любое число проблем и возможно создать новые отверстия в безопасности вашего компьютера. Если Вы не знакомы с управлением корень setuid программы и безопасность выходят, они представляют, мы высоко рекомендуем, чтобы Вы не рассмотрели использование suEXEC.
Вдумайтесь что здесь написано, прежде чем захотите что-то возразить.
Цитата: Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...) |
Интерестно. Ранее вы утверждали что в ядре якобы вообще нет поддержки сети, а теперь выходит что оказывается уже и есть. Успехи делаете. Про компиляцию ядра естественно, вы правы, я отвечу - да, причем не раз имел дело и поэтому знаю что нет в настройках ядра возможности полностью выбросить из него весь TCP/IP. Если не согластны, предьявите ядро, в котором не было-бы вообще никакой поддержки TCP/IP.
Цитата: я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.
|
Не ответили, поскольку suid/sgid - это аттрибуты, а setuid/setgid - системные вызовы, непосредственного отношения к файловой системе не имеющие.
Цитата: Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS
|
Вот, когда MacOS или Linux будут стоять на 90% рабочих столов, тогда и увидим сколько под ними будет вирусов. Что же касается 90% серверов, большинство вирусов в основном ориентируются на пользователя, а не на сервер, на сервер они проникают через аккаунт пользователя, украденный с его рабочего места. Потому что проще украть пароль у пользователя, чем долго и упорно ломать сервер.
| |
|
| Сообщение # 103 |
15.05.08 - 09:55:34
| |
Rootman •
R гость
|
Цитата: | Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем. |
Не говорите ерунды, любая критическая дыра в любой служебной программе, работающей под рутом, и написать под эту дыру вирус для специалиста не составит большого труда. А таковых дыр с служебных программах Юниксов было найдено не так уж и мало. Почитайте bugtraq, вы там все это найдете, а на сайте securitylab.ru можете найти даже готовые эксплоиты под некоторые дыры.
Цитата:| я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно. |
Да, в винде нет 0755 и что с того? В Винде можно легко установить аналог этих аттрибутов.
Цитата:| Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные. |
Не эмулирующий а работающий как родной бинарный файл системы.
Цитата: Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?
|
Нужно и еще как. К примеру мой сайт находится в каталоге /home/users/4Wf549sWjkew245DSSWQew/
Для каталога users установлены аттрибуты rw--rw--r--, т.е просмотр его содержимого запрещен. Задача: имея доступ к каталогу /home определить где находится мой сайт и запусить на нем какой-нибудь посторонний скрипт.
Подобный способ защиты это не моя выдумка, схожий способ используется на хостинге host.km.ru
Цитата:| И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql) |
У phpBB вообще-то каталог для загрузки и хранения аватаров есть.
| |
|
| Сообщение # 104 |
15.05.08 - 09:56:09
| |
kilogram •
K Участник форума
|
Ну и бадягу вы тут развели )))
Rootman, человеку поговорить просто не с кем, а вы на куски разрываетесь. Полагаю он и сам понимает что чушь несёт, но есть такая категория, - поговорить...
Я ни в коем случае не хочу никого обидеть, но вспомните мудрость - "Не спорь с дураком - люди могут не почувствовать разницы между...".
Подумайте об исходе спора, если его так можно назвать конечно. (По мне так сопля на экране размазана) - нет никакого исхода - каждый безусловно останется при своём мнении, так когда и где смысл тогда такой траты времени, ведь его и так дефицит. Не лучше ли заняться чем действительно стоящим, чем баранОм таращиться в стекло монитора, ещё и впустую. | |
|
| Сообщение # 105 |
15.05.08 - 13:08:38
| |
kilogram •
K Участник форума
|
А, вспомнил - эта категория называется Знатоки | |
|
| Сообщение # 106 |
15.05.08 - 13:14:34
| |
Rootman •
R гость
|
kilogram, спор, конечно, ничем не закончится, однако польза его в том, что человек, поняв свою неправоту может быть наконец задумается о том, что он пишет и поумнеет. Вот он уже и мануалы потихоньку читать начал. Хотя на форуме, то есть поблично, он разумеется никогда в своем незнании не признается. Впрочем скрывать свое незнание на публике свойственно большинству людей.
| |
|
| Сообщение # 107 |
15.05.08 - 14:31:06
| |
Maksir •
M Участник форума
|
Цитата: | kilogram, спор, конечно, ничем не закончится, однако польза его в том, что человек, поняв свою неправоту может быть наконец задумается о том, что он пишет и поумнеет |
Ну да... Вы то точно поумнеете.
По поводу прав, - 666 можно написать несложную программу, которая выполняет запись в файл на сервере 666 . Для этого у меня и книга интересная есть "Боевой софт для Linux" и журнал Хакер тоже, нешутливые рецепты даёт. По-сути, этот файл открыт на чтение "Для всех", это значит, что для его чтения не требуется аутификация на сервере, его можно прочитать в обход сценария. Пример такой я уже демонстрировал. Этот файл открыт на чтение и на запись (4 чтение + 2 запись = 6), по-этому, и записать в него может любой желающий, но для этого потребуется специальная программа.
я предлогаю всерьёз отнестись к этой проблеме и изучить - какому файлу, какие права необходимы. А вы тут разносите какую-то ВИЧ-инфекцию в умы наших товарищей. " -- а попробуйте это 7777 а вот такие права попробуйте ... а вот так, если не получется "
Но, а суть этих прав в чем? Не разу не пробовали разобраться? Мозги, они для чего?
Вот я и вижу, что для вас всё - паралельно! | |
|
| Сообщение # 108 |
15.05.08 - 15:37:17
| |
|
Главная сайта