Форум техподдержки бесплатных PHP скриптов

Форум техподдержки бесплатных PHP скриптов

Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!

Главная сайта бесплатных php скриптовГлавная сайта   ПоискПоиск  
Сегодня: 23.10.2020 - 12:30:35
Страницы:  1 ... 7  8  9  10  11  ... 29
Объявление - WR-Scriptы в UTF-8 кодировке

Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.

На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Работы продолжаются и в 2020 году. Ура!

АвторСообщение

Maksir

M
Участник форума


А почему собственно авторов phpBB нельзя считать авторитетными? Это серьезный коллектив разработчиков, который много лет разрабатывает и поддерживает один из самых популярных

Цитата

Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.

Да нет, я делеко не один раз обьяснял, зачем они нужны. Без них на многих хостах вы не сможете ни считать файл, ни что-нибудь в него записать. И я говорил вам это неоднократно.

Цитата

Дайте ссылку на свой пост.

Какой интерпретатор, откуда вы это выкопали. В Винде это точно такой-же бинарный EXE-файл, как и все остальные файлы в этой системе

Цитата

У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?...
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!

Речь была не о компиляции ядер, а об их безопасности. Если вы сравниваете безопасность систем, то и делайте именно это, а не сравнивайте безопасность софта, который по системой работает.

Цитата

Безопасность системм Windows и Unix? :)


Доступ к файлам и к сети в Линуксе предоставляется на уровне ядра а не программ. Собственно сетевые протоколы они как раз и зашиты в ядро. За исключением разве что протокола SMB, впрочем для его работы тоже необходим несущий TCP/IP-протокол ядра.

Цитата

Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix. Ничто не мешает ядро пересобрать без сетевой поддержки. Просто, смысла в этом нет - нет такой необходимости в целях безопасности.
Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.

Разумеется, например KDE это умеет, автоматом монтировать компакт-диски и открывать автоматом их содержимое в Konqueror, а если это настроить, то вместо Konqueror-а можно выполнить wine autorun.exe и вперед. Ну если у вас разумеется установлен Wine

Цитата
Давайте без "настроить" поговорим. Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.

Если дыра в процессе, который работает по рутом - еще как может.

Цитата

По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.

Сообщение # 97 13.05.08 - 14:31:26

Maksir

M
Участник форума


Увы, так не просто устроен Apache, просто он скомпилирован на хосте с поддержкой функции suexec, позволяющей запускать скрипты от имени другого пользователя, а не того, который прописан в настройках по умолчанию.

Цитата

Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.
Вот текст:

сначала, предполагается, что Вы используете производную UNIX операционная система, которая является способной к setuid и setgid операции. Все примеры команды даются в этом отношении. Другие платформы, если они способны к поддержке suEXEC, могут отличаться по их конфигурации

Цитата
Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html

Сообщение # 98 13.05.08 - 15:26:37

Rootman

R
гость


Потому что phpBB и форум WR это не одно и тоже, хотя бы по этому.

Цитата

А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие.


Дайте ссылку на свой пост.

Цитата

Форум не позволяет давать ссылок на одиночные сообщения, поэтому процитирую:

Сообщение # 63.
Права nobody нужны чтобы сервер не работал и не выполнял файлы с правами их владельца а имел к ним доступ только как "все остальные", иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно. Когде-же вы это наконец поймете. В том же случае, о котором я говорю, взломщик может получить доступ лишь к файлам, доступным для записи. Изменить или удалить остальные файлы он обломится.


У Вас теперь все exe файлы теперь бинарики, а исходники - сырцы?...
Если Вы не ощущаете разницы между Unix и Windows, это ваши проблемы!

Цитата

В Винде вообще-то все EXE-файлы - бинарники, али вы не знали? Нет, я конечно понимаю что вы можете создать на диске файл с расширением EXE и вписать туда любую глупость, однако глупо отрицать очевидное, в Винде exe-файлы - бинарники. Это вы как всегда Винду с Юниксом попутали в котором бинарные файлы обычно без расширения.


Безопасность системм Windows и Unix? :)

Цитата

Именно. И как так насчет безопасности ядра Винды и ядра Линукса? Повторяю ядра а не программ.


Вопервых, ядро не предоставляет доступ через сеть, это вы попутали.
Вовторых, сетевые протоколы не зашиты в ядро Unix.

Цитата

TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости. TCP/IP именно протокол, который предоставляет доступ в сеть, поскольку это протокол транспортный, в отличие от всяких HTTP, FTP итд, которые являются прикладными протоколами.


Ничто не мешает ядро пересобрать без сетевой поддержки.

Цитата

Ну попробуйте, пересоберите его без поддержки TCP/IP.


Втретьих, SMB протокол, это даже не модуль ядра, а программа, такая же как apache.

Цитата

А в Виндах - часть ядра. И никто не мешает написать модуль поддержки SMB для ядра Линукса, просто смысла нет.


Shared Docs в Windows как поживает?
В Unix-подобных системах нет вирусов и нет проблем с безопасностью.

Цитата

У меня на сервере тоже нет, а если появляется антивирусник их тут же удаляет. В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы.


По-умолчанию все настройки системы не позволяют даже шага ступить за пределы своего каталога обычным пользователям. Дыр нет никаких и даже тени в безопасности быть не может. Есть такие убожества вроде вас.

Цитата

Любезный, полностью безопасных систем не бывает впринципе, самая безопасная система - выключенная из розетки и запертая в сейф, да и то, при желании из сейфа утащить могут.
Насчет того, что якобы нет дыр, почитайте хоть один сайт по безопасности, хотя бы общеизвестный bugtraq.ru. Вот сейчас захожу и сразу на первой странице читаю "25-летний баг в BSD". Кстати, вы в Линуксе каким браузером пользуйтесь, не Mozilla случаем? Тогда получайте http://bugtraq.ru/review/archive/2007/26-07-07.html с того же сайта.


Здесь речь идёт о командах sgid и suid стандартных для систем Unix. А точнее сказать, setuid , setgid касаются именно тех самых настроек, которые регулируются через sgid и suid и это относится к файловым сестемам, где это поддерживается.

Цитата

Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid.
Нет, ну что за линуксоид нынче пошел, совсем мануалы разучился читать. Нет бы набрать man setuid прежде чем что-то утверждать.


Что не относится к Windows.
Вот ссылка на аригинал статьи http://www.oglib.ru/apman/suexec.html

Цитата

Ну да, Виндовс не поддерживает suexec, там все скрипты и файлы выполняются и читаются с теми правами, под каким пользователем запущен сервер. Укажите в планировщике заданий запускать сервер под пользователем "ВасяПупкин", будет под ним выполнять.

Сообщение # 99 14.05.08 - 06:35:23

Maksir

M
Участник форума


А причем здесь WR-форум? Я вам говорю что разработчики phpBB

Цитата

Есть существенная разница.

иначе повторяю - любая дырка в скрипте и взломщик получит полный доступ ко всему сайту как владелец, а такого быть не должно

Цитата

Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP. Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные". Обработчик PHP сам выдаст результат через сценарий, который вы программируете.
[BR] 2. [/BR] Если я ограничиваю права для "Всех остальных", то я знаю, зачем это делаю. Но вы, никак не поймёте и упираетесь на какой-то взлом системмы... Причём здесь "взлом" и права которые я и без того ограничиваю?

TCP/IP зашит в ядро UNIX. Вы утверждаете что TCP/IP это не транспортный протокол? Постыдились-бы чтоли утверждать такие глупости.

Цитата

Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...)

Не путайтe suid/sgid аттрибуты с одноименными системными вызовами setuid, setgid

Цитата
я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.

В Юниксах нет вирусов не потому что их невозможно для него написать, а потому что у пользователей он малопопулярен, чтобы специально под него писать вирусы.

Цитата

Это мнение самое распростронённое, но не имеет под собой никакого весомого аргумента.

Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS

И, этот список можно продолжать, и говорить о том, как скоро MacOS будет пользоваться большей популярностью, сколько угодно. Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем. В техническом представлении, получение прав Владельца, это не предстовляется возможным. В этом и состоит принцип передачи прав от пользователя-Владельца, Группой, а также Динамического распределения процессов. Чего нет в Windows.


Ну да, Виндовс не поддерживает suexec,

Цитата

я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно. Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные.

Сообщение # 100 14.05.08 - 17:12:27

Maksir

M
Участник форума


А причем здесь WR-форум? Я вам говорю что разработчики phpBB вполне компетентны, чтобы знать какие атрибуты нужны для работы их продукта и раз указывают 755 и 666, значит знают зачем оно надо и почему именно такие.

Цитата

Важно, что бы вы сами понимали для чего эти права нужны. А то в FAQ , которые вы мне давали, там вообще не указаны права - 666 .

Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?
И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql)

Сообщение # 101 14.05.08 - 17:32:57

Rootman

R
гость


Есть существенная разница.

Цитата

Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.


Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP.

Цитата

Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который п

Сообщение # 102 15.05.08 - 09:55:18

Rootman

R
гость


Есть существенная разница.

Цитата

Ну-да, между WR-Forum и phpBB есть существенная разница, это понятно. Однако и там и там рекомендуются одинаковые права доступа к файлам, вот в чем весь прикол.


Каким образом взломщик наковыряеет такую дыру через скрипт, что бы зайти на сервер с правами владельца? Владелец и Группа необходимы , если скрипт выполняется через интропретатор PHP.

Цитата

Так и наковыряет. В вашем варианте скрипт у вас уже выполняется с правами владельца. В том-же варианте, который предлагаю я, скрипт выполняется с совершенно левыми правами типа nobody что собственно исключает возможность потенциальному взломщику получить доступ к изменению всех файлов, исключая тех, на которых высталвено "запись для всех остальных". В любом случае пусть взломщик убьет все файлы, доступные для записи, чем все файлы на сервере вообще.


Если это статический файл, который просто передаётся сервером как есть, в этом случае нужны права "Все остальные". Если это скрипт написанный на PHP, то здесь ненужны права "Все остальные".

Цитата

Если у вас сервер работает без suexec, тогда все файлы выполняются с одинаковыми правами доступа, независимо от того, статический он или скриптовый. Вы мне мануал русский по suexec привели, почитали-бы чтоли с самого начала что там написано. Правда там корявый перевод, который делался программой переводчиком, однако смысл его вполне ясен.

Особенно это:

Однако, если suEXEC ненадлежащим образом формируется, это может вызвать любое число проблем и возможно создать новые отверстия в безопасности вашего компьютера. Если Вы не знакомы с управлением корень setuid программы и безопасность выходят, они представляют, мы высоко рекомендуем, чтобы Вы не рассмотрели использование suEXEC.

Вдумайтесь что здесь написано, прежде чем захотите что-то возразить.


Это не один протокол, а группа протоколов. И про TCP/IP я ничего не утверждал, вы бредите.
Но, мне интересно, чем это группа протоколов пришита к ядру Unix? И за что я должен извиняться, если само ядро Unix мжет быть как угодно урезанным.
я даже боюсь вас спросить, - имели ли вы дело с компилированием ядра? (сейчас как ответите -да...)

Цитата

Интерестно. Ранее вы утверждали что в ядре якобы вообще нет поддержки сети, а теперь выходит что оказывается уже и есть. Успехи делаете. Про компиляцию ядра естественно, вы правы, я отвечу - да, причем не раз имел дело и поэтому знаю что нет в настройках ядра возможности полностью выбросить из него весь TCP/IP. Если не согластны, предьявите ядро, в котором не было-бы вообще никакой поддержки TCP/IP.


я ответил по-существу. Дал вам ссылку, привёл цитату из статьи.

Цитата

Не ответили, поскольку suid/sgid - это аттрибуты, а setuid/setgid - системные вызовы, непосредственного отношения к файловой системе не имеющие.


Я приведу вот такое сравнение:
1) Macintosh, первый конкурент Micrasoft Windows. В связи с выходом её новой версии, Microsoft выпустила свою Vista, которая была недоделана к тому моменту. Результат налицо...
2) Сервера в Интернет на 90% стоят на Unix
3) Выпускаемые DSL-модемы и роутеры (любые комутаторы) программируются на основе Unix
4) В магазинах всё чаще можно встретить торговую марку MacOS , или КПК с прошивкой MacOS

Цитата

Вот, когда MacOS или Linux будут стоять на 90% рабочих столов, тогда и увидим сколько под ними будет вирусов. Что же касается 90% серверов, большинство вирусов в основном ориентируются на пользователя, а не на сервер, на сервер они проникают через аккаунт пользователя, украденный с его рабочего места. Потому что проще украть пароль у пользователя, чем долго и упорно ломать сервер.

Сообщение # 103 15.05.08 - 09:55:34

Rootman

R
гость


Но, главный вопрос о безопасности - вирус для Unix? Это технически не представляется возможным, поскольку в Unix самая надёжная системма безопасности проверенная временем.

Цитата

Не говорите ерунды, любая критическая дыра в любой служебной программе, работающей под рутом, и написать под эту дыру вирус для специалиста не составит большого труда. А таковых дыр с служебных программах Юниксов было найдено не так уж и мало. Почитайте bugtraq, вы там все это найдете, а на сайте securitylab.ru можете найти даже готовые эксплоиты под некоторые дыры.


я имел ввиду вот это - 0755 - первый ноль. Здесь речь идёт о поддержке файловых систем. Ссылку дал, где прямым текстом об этом написанно.

Цитата

Да, в винде нет 0755 и что с того? В Винде можно легко установить аналог этих аттрибутов.


Там так же написанно, что в различных операционных системах используются специальные настройки системмы. Проще говоря, програмный блок эмулирующий сервер Unix, который распределяет и хранит все эти данные.

Цитата

Не эмулирующий а работающий как родной бинарный файл системы.


Кстати, 666 - открыт для кого угодно на запись, как вы сами себе такое представляете? Нужно ли вообще ломать сервер, что бы запустить свой скрипт на этом узле?

Цитата

Нужно и еще как. К примеру мой сайт находится в каталоге /home/users/4Wf549sWjkew245DSSWQew/
Для каталога users установлены аттрибуты rw--rw--r--, т.е просмотр его содержимого запрещен. Задача: имея доступ к каталогу /home определить где находится мой сайт и запусить на нем какой-нибудь посторонний скрипт.
Подобный способ защиты это не моя выдумка, схожий способ используется на хостинге host.km.ru


И нужны ли вообще права на запись файлам этого phpBB , если он работает с базой MySQL, которая находится вообще в другом каталоге сервера (где и Владелец и Группа определены - mysql)

Цитата

У phpBB вообще-то каталог для загрузки и хранения аватаров есть.

Сообщение # 104 15.05.08 - 09:56:09

kilogram

K
Участник форума

Ну и бадягу вы тут развели )))
Rootman, человеку поговорить просто не с кем, а вы на куски разрываетесь. Полагаю он и сам понимает что чушь несёт, но есть такая категория, - поговорить...

Я ни в коем случае не хочу никого обидеть, но вспомните мудрость - "Не спорь с дураком - люди могут не почувствовать разницы между...".
Подумайте об исходе спора, если его так можно назвать конечно. (По мне так сопля на экране размазана) - нет никакого исхода - каждый безусловно останется при своём мнении, так когда и где смысл тогда такой траты времени, ведь его и так дефицит. Не лучше ли заняться чем действительно стоящим, чем баранОм таращиться в стекло монитора, ещё и впустую.

Сообщение # 105 15.05.08 - 13:08:38

kilogram

K
Участник форума

А, вспомнил - эта категория называется Знатоки

Сообщение # 106 15.05.08 - 13:14:34

Rootman

R
гость

kilogram, спор, конечно, ничем не закончится, однако польза его в том, что человек, поняв свою неправоту может быть наконец задумается о том, что он пишет и поумнеет. Вот он уже и мануалы потихоньку читать начал. Хотя на форуме, то есть поблично, он разумеется никогда в своем незнании не признается. Впрочем скрывать свое незнание на публике свойственно большинству людей.

Сообщение # 107 15.05.08 - 14:31:06

Maksir

M
Участник форума


kilogram, спор, конечно, ничем не закончится, однако польза его в том, что человек, поняв свою неправоту может быть наконец задумается о том, что он пишет и поумнеет

Цитата

Ну да... Вы то точно поумнеете.
По поводу прав, - 666 можно написать несложную программу, которая выполняет запись в файл на сервере 666 . Для этого у меня и книга интересная есть "Боевой софт для Linux" и журнал Хакер тоже, нешутливые рецепты даёт. По-сути, этот файл открыт на чтение "Для всех", это значит, что для его чтения не требуется аутификация на сервере, его можно прочитать в обход сценария. Пример такой я уже демонстрировал. Этот файл открыт на чтение и на запись (4 чтение + 2 запись = 6), по-этому, и записать в него может любой желающий, но для этого потребуется специальная программа.

я предлогаю всерьёз отнестись к этой проблеме и изучить - какому файлу, какие права необходимы. А вы тут разносите какую-то ВИЧ-инфекцию в умы наших товарищей. " -- а попробуйте это 7777 а вот такие права попробуйте ... а вот так, если не получется "
Но, а суть этих прав в чем? Не разу не пробовали разобраться? Мозги, они для чего?
Вот я и вижу, что для вас всё - паралельно!

Сообщение # 108 15.05.08 - 15:37:17
"Репутация" :Предыдущая темаСледующая тема: Не заходит в админ панель. Что делать?
Страницы:  1 ... 7  8  9  10  11  ... 29

Сообщение
Имя E-mail
Сообщение

Нажмите на точку возле имени для обращения к участнику

Смайлы:

Ещё смайлы
Эмодзи
         
Защитный код: (введите цифры, которые на синем фоне)
   
WR-Счётчик
Powered by WR-Forum Professional © 2.2.2