- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Если используется nginx, то уже так не получится сделать. Ему нужен доступ к тем же статическим файлам, а работает он от одного юзера.
Согласен 700 nginx уже не прочтет, но 710 с группой chown user:nginx уже прочтет.
Последняя фраза - в точку. Иногда просто не замечаешь, что есть потенциальная уязвимость, сделанная своими же руками. А так - взгляд со стороны показал если не все, то многие недостатки.
Это все класно, но все познается в сравнении, представьте себе что вы пришли в магазин, че-то купили и забыли забрать сдачу, кто виноват? вы . Чья оплошность? ваша..... вы наймете человека который научит вас "не забывать сдачу"? я думаю это мало вероятно. Другое дело если вас в магазине "грамотно развели" и продали колбасу за 200$ которая 25$ стоит... вот тут можно нанять человека который скажет сколько и какая колбаса реально стоит. По этому если данный топик подразумевал проверку системы, было бы хорошо..... а вот проверку "оплошностей" заказывать не хочется, лучше еще раз пройтись самому и посмотреть на все внимательно :)
Пример не совсем удачный к нашему случаю тут , но в целом описывает концепцию правильно. Пока мы сами не организуемся и не начнем понимать, что есть пароль на SQL который может быть пустой или храниться там же где все остальное и самое ценное - ни кто не поможет... НИ КТО!!!!
Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....
Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....
У вас уже не в первый раз подобные мысли возникают)
Если вдруг какие-то данные уплывут, то вспомнят меня в первую очередь, имхо. В данном случае глупо считать это "алиби".
Тут комментировать нечего в общем...
Посмотрел, и правда дырень. В директадмине по-умолчанию точно есть, особенно с apache_public_html=0. С ней все файлы у соседа читаются.
А с =1 через дефолтовый апач.
Ох..нно разрабы панели лоханулись. 😮
Причем тут разработчики? Как настроено, так и работает.
Или разработчики ОС тоже лоханулись, что некоторые на все файлы 777 ставят?
... По этому если данный топик подразумевал проверку системы, было бы хорошо..... а вот проверку "оплошностей" заказывать не хочется, лучше еще раз пройтись самому и посмотреть на все внимательно :) ...
А чем по вашему является проверка системы? Ну вот принципиально от поиска "оплошностей" чем отличается? Посмотреть на версии ПО, и сказать, что надо обновить то и то? Или еще какие-то моменты?
Вот например, посею чуток паники, где собственно доказательства того, что ТС например не украл коммерческие данные с тех ISP которые 3 из 3х ? Да, он мог не делать там rf -rf / , да он ничего не ломал и после сообщил владельцам, но это те случаи когда система уже скомпрометирована, по этому можно мило делать проверки официальные, а данные будут уплывать..... Конечно ничего не мешает делать их как бы просто так для себя и воровать информацию тихо, но так же алиби реальное есть :0 Мол заказали проверку, заходил... проверял....
Ну если включить режим паранойи, то тогда можно предположить, что половина хостеров на самом деле уже поломана, просто еще не узнала об этом :-)
Причем тут разработчики? Как настроено, так и работает.
Или разработчики ОС тоже лоханулись, что некоторые на все файлы 777 ставят?
При том, что Вы похоже вообще не знаете тему разговора :) Это косяк разработчиков панели, причем нескольких панелей одновременно.
А чем по вашему является проверка системы? Ну вот принципиально от поиска "оплошностей" чем отличается? Посмотреть на версии ПО, и сказать, что надо обновить то и то? Или еще какие-то моменты?
Версии это версии, но вы поймите, есть люди которые ежедневно поддают куче проверок те же демоны системы, разыскивая в них новые и новые дыры, я склоняюсь к таким проверкам. А проверка дырявых скриптов моих пользователей мне как хостеру ничего не дает, в принципе.
Ну если включить режим паранойи, то тогда можно предположить, что половина хостеров на самом деле уже поломана, просто еще не узнала об этом :-)
А вы что его выключаете? В 21 веке однако живем....
А проверка дырявых скриптов моих пользователей мне как хостеру ничего не дает, в принципе.
В данном случае - это не проверка "дырявых скриптов пользователей". Они при данном варианте почти все будут "дырявыми".
Да, он давно в этой сфере. Думаю, раз в 10 дольше, чем я. Но наметанный глаз - не достаточное условие, чтобы решить проблему безопасности. Здесь нужен другой уровень видения вопроса.
Другой уровень видения вопроса нужен безусловно, только нужен Вам для оценки ситуации с позиции хостинг-провайдера. Вы оцениваете ее с позиции офисного fulltime-сотрудника, а не бизнесмена - не анализируя выгоды и риски, а выдавая на-гора шаблоны и предрассудки (вплоть до националистических) и голословные утверждения (например о том, что частное предпринимательство (а выполнение разовых заказов в данном случае оно и есть) как-то влияет на "уровень" специалиста и автоматически ставит его ниже fulltime работников по квалификации).
О информационной безопасности в ее нетехнической части Вы тоже имеете довольно странное представление (например отказываетесь признавать факт, что разовый найм сотрудника с контролем и лишением доступа после выполнения задания (либо вообще до появления на сервере важной информации) во многих, очень многих случаях гораздо более безопасен, чем постоянный доступ слабоконтролируемого сотрудника к этой информации. И его месячный зароботок к этому имеет очень косвенное отношение.).
Вкупе с тем, что Вы неоднократно выказывали неуважение к собеседнику и собственную завышенную самооценку, дискуссия с вами мне кажется бесперспективной.
По теме топика: Из любопытства, получить информацию о уязвимости и методах, которыми она была найдена в индивидуальном порядке возможно?