Инструмент для защиты сайтов - Ваше мнение?

В каком пункте говорится, что запрещается давать ссылки на продукт, вынесенный для обсуждения? Ок, проехали, уж коль появился соседний топик.

Чо-чо??! Кто это позволит юзеру менять конфиг ПХП?!! Если таковые и есть, то это единицы. Так что по всему остальному - увы, нет предмета обсуждения.

Не увидел такого. (АПД нашел по др. урлу. Юзабилити сайта, конечно)

А о бесплатной я уже говорил - бесполезна она, уж коль не даёт нужной инфы

Это сильно :))) Ты менеджер (а учитывая рассказы о доступности auto_prepend_file на шареде и др "непониманий" реальностей я в этом всё больше убеждаюсь)? Пускай технари в топик пожалуют.

Проверьте у себя ;) Скорее всего, Вы будете удивлены (да и "хостеры" некоторые могут удивиться). Не забывайте - продукт разрабатывал не студент школоло, а системный администратор с многолетним стажем.

Единицами будут те, у кого на сервере инсталлятор не сможет автоматически сконфигурировать PHP :)

При этом, инсталлятор ничего не взламывает и не хакает, он не лезет в системные файлы, не затрагивает Ваши файлы - сам продукт устанавливается в отдельную директорию, а настройка PHP выполняется, в зависимости от PHP-API (CGI/Apache) либо с помощью опции php_value, либо с помощью cgi-wrapper.

Впрочем, зачем углубляться в технические подробности - просто проверьте :) Для удаления PHPSECURE, достаточно удалить файл .htaccess расположенный в корневой директории Вашего аккаунта, примеры:

/home/login/.htaccess

/var/www/login/data/.htaccess

И директорию с файлами продукта, которая также расположена в корневой директории и имеет название в виде даты установки, примеры:

/home/login/08112014

/var/www/login/data/08112014

Так-что проверяя, Вы ничем не рискуете :)

Автоинсталлятор не сможет автоматически сконфигурировать PHP в следующих случаях:

1. PHP работает как CGI, но у пользователя отсутствуют разрешения на CGI/cgi-bin (в этом случае инсталлятор не сможет использовать cgi-wrapper).

2. PHP работает модулем Apache, но отсутствует разрешение на использование директивы php_value

Обе описанных ситуации встречаются крайне редко.

Я еще и хостер обеспечивающий поддержку более тысячи сайтов.

99% сайтов размещенных на наших серверах используют исключительно и только язык PHP для своей работы (речь не идет о СуБД MySQL и т.п. API, с которыми работают скрипты CMS). Имеется ввиду, что не используются иные языки подключаемые через cgi, например perl, parser и т.п.

Эти языки используют единицы и PHPSECURE не подходит для обеспечения безопасности таких сайтов.

Точно также, как не подходит для обеспечения безопасности сайтов на других языках (ASP и т.д.). Потому он и называется PHPSECURE.

В текущих реалиях, когда все наиболее популярные CMS используют PHP и для их работы совершенно не требуется иных языков выполняемых через cgi-интерфейс, PHPSECURE охватывает основную массу потребителей.

Проверю. Как только найду хостинг, который не жалко и у которого есть инокуб (что опять же есть не у всех) :) Ставить закодированное, да ещё не понятно от кого - я ещё с ума не сошел.

АПД. А вообще поступим проще и ширше. Топик с вопросом к хостерам

Вопрос был в ключе: "технарь или менеджер", а не к чему это прилагается.

P.S.

Так приятно разрушать стереотипы :)

Пусть технари пожалуют конечно, но как можно спорить может оно или не может, даже не попробовав? ;) Да еще и ярлыки навешивать. Фу-фу-фу :) Диванные теоремы. Попробуйте! А потом спорьте :)

Уважаемые технари (да и просто не безразличные), прошу помощи, только не теоритической, а практической - человек не знает, что возможно без участия хостера изменить конфиг PHP, даже если хостер считает, что это невозможно. Я утверждаю обратное.

Мой автоинсталлятор является доказательством моему утверждению.

---------- Добавлено 08.11.2014 в 11:54 ----------

Я на этом рынке десятилетие. Продукт исследован и одобрен компанией FastVPS - посмотрите в левый нижний угол SE, там надпись есть Hosted by FastVPS, может быть это Вам о чем то скажет. В целом, Вы можете спросить напрямую у них - исследование продукта производил их системный администратор Павел Одинцов, да и тема ихняя здесь есть, наверное можно пригласить их представителя сюда.

Это на случай, если не доверяете непосредственно мне (меня ведь Вы не знаете - рекламы мы давным давно не даем). Хотя и среди пользователей данного форума есть мои клиенты, которые хостятся у меня годами.

В общем, Ваша позиция мне ясна и она вполне адекватна, но по крайней мере не стоит вешать ярлыки, основываясь лишь на своих предположениях :)

ЗЫ. Готов оплатить минимальный тариф с PHPна любом указанном Вами хостинге или просто перечислить Вам деньги на оплату этого тарифа, для теста.

Не уверен. Моя "позиция" - разобраться в теме, а не "опустить".

Но вот разговор с человеком ммм.. мягко говоря, некорректно излагающим мысли.. как-то мало продуктивен. Мы находимся в тех. разделе и тут надо говорить на техническом языке. Грамотно отвечать на вопросы, а не перекладывать и уводить в стороны.

Посему я и просил пригласить в топик технически грамотных людей, причастных к этому продукту.

ЗЫ. Я пред. пост чуть ранее проапдейтил.

Я и не утверждал, что Ваша позиция "опустить". Ваша позиция - недоверие (что вполне оправданно) и огромное вам спасибо за желание разобраться в теме.

Я прекрасно понимаю, что для "не технаря" сама мысль о том, что можно взять и изменить конфиг PHP не спрашивая разрешения хостера выглядит нелепой, тем не менее, обычно, это возможно :)

Что же касается корректности изложения своих мыслей - что ж, прошу простить, вероятно я слишком сильно "технарь" и слишком мало "менеджер", поэтому и разучился корректно излагать мысли человекопонятным языком :)

Хотя, подозреваю, здесь еще и просто вопрос недоверия (типа "да как так, это ж невозможно, а значит он лукавит или неправильно выражается").

Так-что предлагаю просто заказать хостинг (любой какой скажете), предоставить Вам все доступы и проверить.

Либо дождаться, когда появятся "смельчаки", которые установят продукт у себя и отпишутся в теме.

P.S. Первым трем, кто примет участие в тестировании - установит продукт у себя на хостинге и отпишется в этой теме (установился или нет и т.п.), годовая лицензия в подарок.

P.P.S.

Возможно Вы будете удивлены - но далеко не все хостеры сами знают, что возможно, а что невозможно на их серверах. Речь не идет о крупных хостерах со штатном специалистов (хотя и там в саппорте работают не технари обычно, а технари не общаются с "простыми смертными") как не идет о небольших конторах и/или даже частных предприятиях, где за администрирование отвечают понастоящему подготовленные спецы. Речь об арендованных серверах с аутсоринг-администрированием, а таких немало :)

Мне кажется, я предложил более простой вариант - купить любой хостинг (только не дорогой) и проверить :) Либо дождаться, когда в теме появятся небезразличные, кто "рискнет" проверить у себя на хостинге.

SeVlad, да он, видимо, просто эйчтиаксесом ставит препенд файл для скриптов в директории. Никакого криминала.

VictorAS, идея с препендом прикольная, но не знаю..

Вы же понимаете, что дергать файл и сравнивать каждый раз со списочком - не лучшее решение для разграничения доступа. Тупо грамотно права назначить на директории намного лучше. Вы скажите, что, мол, этот продукт для тех, кто не может сам настроить и не может нанять спецов, а я скажу - что такие и Вам вряд ли что-то заплатят :)

Вы же понимаете, что нет, не на "уровне сервера" работает Ваш антивирус, а на уровне обычного пользователя обычным пхп файлом. А что, если уязвимость будет в Вашем файле? Предположим злоумышленник вломал сайт и получил права пользователя. Когда Вы установите туда свой антивирус злоумышленник получит доступ и к нему. Анализируя антивирус он найдет как его обойти и, самое главное, как используя этот антивирус взамывать другие сайты с ним. Ведь файл антивируса подгружается в каждый файл сайта. Это лакомый кусочек :)

RiDDi, спасибо за интересный комментарий :) Отвечаю по порядку:

Какое же лучшее? Права доступа не помогут, поскольку если файл с разрешением на запуск будет модифицирован, то это будет означать взлом. На большинстве серверов, прав на запуск не требуется, требуются только права на чтение (если говорить о chmod), в общем это не совсем нужная область, тогда же как PHPSECURE нацелен именно на контроль запускаемых файлов, в том числе контроль их содержимого. Никакими грамотными расстановками прав такого эффекта не добьешся.

Это Вы немного выдернули из контекста - я отвечал человеку в ключе "сайты тоже работают на уровне сервера". И то и другое работает на сервере. Да и кстати, у PHPSECURE есть модуль PHP (расширение.so) позволяющее подключать его в обход auto_prepend_file, т.е. по сути именно на уровне сервера.

Начнем с того, что взломать сайт, на котором установлен PHPSECURE в любом случае на порядок сложнее. И если уж сайт будет взломан даже при наличии на нем PHPSECURE (да просто пароль украсть можно с компа владельца сайта), то тут уже так и так ничем не поможешь.

А касательно auto_prepend_file - кусочек конечно лакомый, да только никто не запрещает взломщику подключать свой auto_prepend_file так или иначе и phpsec ему для этого совершенно не требуется.

При этом, хочу обратить внимание, что содержимое выполняемых файлов phpsecure проверяется при каждом запуске, поэтому в случае изменения одного из файлов, он будет попросту скачан с сервера обновлений и восстановлен.

Это не распространяется только на файл, подключаемый непосредственно через auto_prepend_file, поскольку непосредственно для этого файла такая проверка не имеет смысла.

Однако в ближайших версиях, для пользователей с административным доступом, планируется добавление функционала проверки непосредственно в расширение php, после чего, описанная Вами ситуация станет совершенно невозможной.

И повторюсь - phpsecure не делает работу взломщика легче, не дает дополнительых привелегий, зато наоборот на порядок увеличивает защищенность сайта и снижает риск из описанных Вами примеров.

ТС, а чем вам OSSEC и ModSecurity не угодили? К чему этот велосипед? В чем его преимущество перед существующими, годами проверенными системами? Только то, что подходит для шаред хостинга что-ли?

боже упаси от такой защиты. и от продуктов, которым годится такая защита.

я первые пару лет тоже безбожно говнокодил, изобретая велосипеды.

но вот до искажения входных параметров никогда не опускался :(

это что, оно ещё свои логи на диск пишет?

то есть можно жирными пакетами с "eval" диск забить под завязку?

0.11 секунды отрабатывает скрипт даже без коннекта к базе?

от же фейспалм :(

сертификации какие-то проходили хоть, чтоб людям предлагать ионкубнутые скрипты со словами "просто попробуйте"?

ах, оно ещё куда-то периодически долбится?

то есть если положить "сервер обновлений", то сайт может начать тормозить?

Зачем я в эту тему заходил? Теперь всю ночь кошмары будут сниться :(