xampp на Windows и безопасность

12
Devvver
На сайте с 02.07.2008
Offline
618
1325

Иногда скачиваю выложенные в паблик темы WP с зарубежных сайтов для оценки функционала и наворотов.

Если нравится - покупаю.

Возник такой вопрос - насколько безопасно запускать темы на 127.0.0.1 ? Может ли код выполнить вредоносные вещи, к примеру скачать exe файл и запустить его.

Мой блог. Все о создании сайтов,Seo и СДЛ (https://devvver.ru/) А вот это блог о жизни в Таиланде и Паттайе (http://tourwebring.com). Еще о Таиланде (https://tailand-gid.org).
S
На сайте с 23.05.2004
Offline
290
#1

Запросто. Там все под твоим юзером запускается.

Это просто мой личный сайт (https://phpdevs.com/) в моей подписи.
edogs software
На сайте с 15.12.2005
Offline
714
#2

Devvver, если нтфс и права правильно настроены, то не может. Если фат или права никто не настраивал, то может (да и вообще доступ ко всему диску может иметь).

Разработка крупных и средних проектов. Можно с криптой. Разумные цены. Хорошее качество. Адекватный подход.
LEOnidUKG
На сайте с 25.11.2006
Online
1553
#3
к примеру скачать exe файл и запустить его.

В принципе да. У меня куча скриптов для работы, которые запускаются через PHP и файлы исправляют и т.д.

Но apache работает от админа, и темы я всякие не запускают.

Думаю для такого лучше какой-нибудь поддомен юзать на своём сайте.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
Anamnado
На сайте с 08.02.2010
Offline
241
#4

разумеется цепануть можно всё что угодно и не только через exe

Devvver, поставь Нетваре и не парься. занимайся дальше....

Подпись без рабочей ссылки все равно, что коитус без кульминации ((c) Anadonam)
foxi
На сайте с 02.03.2011
Offline
877
#5

Это очень опасно, все эти сборки вебсерверов под винду создаются просто чтоб работало, с безопасностью там вообще никак. Могут и экзешники скачивать и запускать, могут поискать и потырить ваши пароли, файлы, куки и все что лежит под этим юзером, да и не только под этим.

Самое на винде для таких дел простое и безопасное - виртуалбокс, в него побыстрому весту панель накатить и запускать можно смело вообще все что угодно.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
SV
На сайте с 03.11.2008
Offline
1393
#6
Devvver:
насколько безопасно запускать темы на 127.0.0.1

Очевидно же - чем меньше тянешь к себе на комп всякого дерьма - тем безопаснее. Не говоря уже за разное окружение и работоспособность.

Пора уже вообще забывать за всякие виновые недоделки и заниматься вебразработкой на реальном хостинге, в реальном окружении.

В крайнем случае - в вируталке с линуксом.

foxi:
в него побыстрому весту панель накатить

При сетапе той же убунты можно просто выбрать LAMP и не нужны никакие панели ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
foxi
На сайте с 02.03.2011
Offline
877
#7

SeVlad, можно, но тогда придется руками ковырять больше. Для тестов такой кратковременной фигни веста самое норм, там и вордпресс в один клик есть.

Devvver
На сайте с 02.07.2008
Offline
618
#8

Понятно, не зря переживал на счет этого...

Тогда второй вопрос.

LEOnidUKG:
Думаю для такого лучше какой-нибудь поддомен юзать на своём сайте.

Как ограничить поддомен на сайте? Чтобы вирус не вылез из папки поддомена и не заразил весь аккаунт.

LEOnidUKG
На сайте с 25.11.2006
Online
1553
#9
Devvver:

Как ограничить поддомен на сайте? Чтобы вирус не вылез из папки поддомена и не заразил весь аккаунт.

Хороший вопрос.

Думаю вам поможет запрет на редактирования .hta и директива php open_basedir

https://stackoverflow.com/questions/13291185/how-to-set-for-specific-directory-open-basedir

Но если подумать, то эта же директива будет работать и на локалке, тем самым ограничивая область PHP

Вы можете установить её до вашей директории, а далее попробовать обычный скрипт

echo file_get_contents("C:\\Windows\\system.ini");

Если выбьет ошибку open_basedir, значит всё ок

edogs software
На сайте с 15.12.2005
Offline
714
#10
Devvver:
Как ограничить поддомен на сайте? Чтобы вирус не вылез из папки поддомена и не заразил весь аккаунт.

Поставьте для домена отдельный интерпретатор, запускайте его от отдельного юзера, которому назначьте права только в пределах своей папки. Разумеется ФС - ntfs.

Если работаете с mysql - сделайте для mysql то же самое, т.к. load infile/outfile тоже может использовать.ся.

Чисто php-шные настройки типа open_basedir не особо спасут, оно обходится достаточно штатно даже на юниксе, не во всех случаях, но все же.

Так же надо ограничить права exec группы (exec, shell и т.д.) функций - лучше вообще прописать их в disabled functions в php, если конечно сайт не использует эти функции.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий