Ты, блин, 2-3 последние станицы топика не осилишь, а bugsmoranу и работать надо и на тупые вопросы по 5 раз отвечать. Кури топик!
Ну и какого тогда мешаешь?
Или думаешь от твоих вопросов дело быстрее пойдёт?
Отвечать не надо. Просто дай людям спокойствия и меньше поводов для нервов. Они итак за эту неделю пережили..
1. Не факт, что не станет известно.
2. Не факт, что злоумышленник сможет завладеть не только "знаниями", а и не посредственно самими файлами. (я к тому, что само их наличие - потенциальная дыра)
3. Топик для обсуждения сервиса, а не обучалка взломов (тем более, что я не учитель)
Было бы желание ;) Но да, смотря какой хеш.
А уровень простого здравого смысла что тебе подсказывает, отвечая на вопрос - чем, в плане безопасности, отличается сервис одиночки (в см не мегакорпораций типа гугла\МС\етс), крутящийся на серверах хенцера, от сайтов таких же одиночек или даже крупных компаний-клиентов сервиса? А о взломе того же твиттера или маилру или ещё 100500 гораздо более защищённых ресов ты тоже не слышал?
Я тебя успокою - ты совсем не одинок в этом. Тысячи или даже миллионы юзеров по всему миру пользуются сервисами, предлагающими залить себе шелл и спать спокойно :)
Если интересно - почитай топики, ссылки на которые я дал в 70 посте.
Разными способами. В зависимости от способов хранения, передачи и обработке этой инфы. К тому же совсем не исключается взлом самого сервиса:
.. всех сайтах всех клиентов.
А смысл?
Ида, саповская папка менее интересная цель, нежели инфа о файловой структуре всего сайта.
О! это дело :) Очень нужное дело.
да.
Думать прежде всего.
Это не дубли, а 3 страницы временно частично дублирующие контент с 4-й.
Чот я тут не понял - хеш чего? Всего состояния? Или нового файла?
Если первое - имеем слив инфы. Если второе - так тут вообще работа по определению "новизны" производится непосредственно на сервере клиента. Про нагрузку опустим, но для этого нада ж инфа о пред. состоянии. Тянуть её с внешнего сервиса? Хранить у себя? Если последнее, то явно что не в базе, а в файлах. Заметь маленькую деталь - в файлах, которые 90% оставят открытыми для паблика ;)
Дык я к тому, что ты лучше занимайся основным, не отвлекайся на потенциально опасные хотелки.
Во всяком случае можно облагородить* упоминавшийся скрипт (автор дал добро). Или же свой написать. И давать его клиентам как доп фичу.
*например сделать его с "админкой" и разными настройками оповещения и сканирования.
ЗЫ. Если пропустил. Я в пред. посте обещалку выполнил и ссылок добавил.
А закреплённый в разделе топик почитать?
1. Я бы процент уменьшил до 60-70. Ибо фрейворки всякие, не считая самописов с паблик-модулями (CKEditor\MCE\етс, пхп-файл-менеджеры и много чего ещё)
2. Модули (инфы о которых нет на морде). Модули с дырами.
Вот см. самое простое, на вскидку. Имеется где-то зарытый древний тимтумб. По хешу злодей сразу увидит и его наличие и путь к нему. А ведь кроме тимтумба есть ещё масса всякого разного ;).
Ещё. Даже в паблик двигах возможно перемещение критических файлов (админки например). А при перехвате злоумышленником инфы с путями\хешами...
Что имеешь ввиду? Каким образом?
Как определишь новый, если нет инфы о предыдущем состоянии? (А если есть - значит она передаётся. Значит что? Значит потенциальная дыра).
И опять же - определение (палево) путей.---------- Добавлено 17.07.2013 в 11:46 ----------
Первый обещанный. Ты должен его помнить ;) (читать желательно весь, до конца)
АПД. Второй.
И, думаю, пока достаточно.
Как минимум, если эта инфа попадает к злоумышленнику - она открывает ему глаза на используемый двиг и модули.
Так это 100500 раз обсуждали. (завтра поищу топики)
Пускать никого не надо (ибо это дыра).
Отправка хешей и инфы о составе файлов - небольшая, но всё же потенциальная уязвимость. Я бы это не сливал никакому сервису.
