- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Зато функций много запретили) Смотрите... часть функций может быть безобидным скриптам необходима.
Ну если не сделаю, то безопасность будет сервера плохая.
Ну если не сделаю, то безопасность будет сервера плохая.
Да вот не верно вы понимаете. Сервер должен быть настроен так, чтобы даже без запрета функций нельзя было навредить.
P.S.: Вот вы запрещаете просмотр UID/GID, а они в phpinfo светятся тоже. Просто запретами вопрос не решить. Вот я на вскидку знаю несколько функций, которые потенциально опасные. Нужно вопрос безопасности решать, а не пытаться сделать не возможным пользоваться "дырками".
Вот если сервер настроен безопасно, то запреты нужны "на всякий случай", а не в виде единственных мер.
Создайте тикет, и вам туда напишут данные
да уже нет необходимости и так посмотрели все вмести.
рекомендую обратиться к Himiko за простой настройкой, можно и ко мне но только ночью буду свободен.
Да вот не верно вы понимаете. Сервер должен быть настроен так, чтобы даже без запрета функций нельзя было навредить.
P.S.: Вот вы запрещаете просмотр UID/GID, а они в phpinfo светятся тоже. Просто запретами вопрос не решить. Вот я на вскидку знаю несколько функций, которые потенциально опасные. Нужно вопрос безопасности решать, а не пытаться сделать не возможным пользоваться "дырками".
Вот если сервер настроен безопасно, то запреты нужны "на всякий случай", а не в виде единственных мер.
И какие варианты вы предлагаете?
И какие варианты вы предлагаете?
Для начала - установить корректные права и заставить сайты работать под аккаунтами их владельцев. (mpm-itk как один из вариантов).В данный момент всё работает от юзера Apache и вы "заставляете" пользователей ставить на папки права 777, чтобы скрипты могли в них писать. (а эти права позволят писать туда любому). И если юзер Apache может прочитать файл, то и любой другой сайт сможет. (т.к. другой сайт тоже запустится от юзера Apache). Т.е. взломав один сайт, можно и другие аккаунты затронуть.
Для начала - установить корректные права и заставить сайты работать под аккаунтами их владельцев. (mpm-itk как один из вариантов).В данный момент всё работает от юзера Apache и вы "заставляете" пользователей ставить на папки права 777, чтобы скрипты могли в них писать. (а эти права позволят писать туда любому). И если юзер Apache может прочитать файл, то и любой другой сайт сможет. (т.к. другой сайт тоже запустится от юзера Apache). Т.е. взломав один сайт, можно и другие аккаунты затронуть.
Спасибо понял), блогадарен всем за полезную информацию.
Спасибо понял), блогадарен всем за полезную информацию.
Радует, что вы адекватно воспринимаете критику.
Мой совет - если в вопросах безопасности не сильны, обратитесь к специалисту, чтобы плохо не закончилось. Это мы тут советуем, а другие могут сразу пробовать ломать и есть шансы, что получится.
Радует, что вы адекватно воспринимаете критику.
Мой совет - если в вопросах безопасности не сильны, обратитесь к специалисту, чтобы плохо не закончилось. Это мы тут советуем, а другие могут сразу пробовать ломать и есть шансы, что получится.
Да, вы правы. Будет уроком. Займусь безопасностью сервера.
Радует, что вы адекватно воспринимаете критику.
Мой совет - если в вопросах безопасности не сильны, обратитесь к специалисту, чтобы плохо не закончилось. Это мы тут советуем, а другие могут сразу пробовать ломать и есть шансы, что получится.
Похоже уже кто-то попробовал, т.к. сайт хостера лежит.
Похоже уже кто-то попробовал, т.к. сайт хостера лежит.
Нет, я делаю щас некоторые работы на сервере.