Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

htaccess

20. led 2013 19:38 #102444
Odpověď od Cony
Moderátor

2. Takže když kliknu na ten odkaz co jsem Vám poslal tak ten script zároven' spouštím ? No to je to co nechci, dá se to nějak zablokovat?
3. Na chybu jste přišel normálně nebo až po stažení a otevření v prohlížeči ?
4. Co by tento htaccess dělal v adresáři joomly, však je od joomly o 4 adresáře výše
5. S databází to také řekl nemá nic ani z letadla, ale vy jste zkušenejší nevím.

ad 2/ ano php se normálně spustí, aby se nespustilo musel by jste zakázat PHP. S tím jak prohlížeč stažený obsah zobrazí, nebo zpracuje to nemá co dělat.
ad 3/ Jednoduše když na odkaz kliknete, dáte si uložit jako a pak otevřít v prohlížeči tak vidíte obsah vygenerovaného HTML.
ad 4/ Jestli tohle máte NAD úrovní Joomly tak to co nejrychleji smažte. htaccess platí i pro podřazené adresáře, a právě z důvodu aby nefungovala možnost Indexes má Joomla v každém adresáři prázdný index.html. Vystavujete se riziku že si někdo prohlédne co by jste nechtěl.
ad 5/ localhost neznamená databáze, o té jsem nemluvil vůbec.

Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO Zktrákta jen pár HTML souborů a je nezbytné, aby ostatní se stahovalo, zároven' je nezbytné, aby se nedalo spustit tedy vykonat scriptu napsaného v .php nebo jiných podobných škodných souborech.

Nejjednoduššeji zajistíte nespouštění ničeho škodlivého tak, že tam nic škodlivého nebude, předpokládám, že soubory tam dáváte Vy.

PS : neměl jsem to pochopit tak, že to takhle udělat nejde ?

Na jednu stranu jste zde řešil rozkódovávání hesel apod, na druhou chcete povolovat Indexes? Máte tam Joomlu, ninstalujte nějakou komponentu na stahování, nejenže to bude vypadat líp, bude to i funkčnější a navíc, vzhledem k tomu že se až tak v problematice neorientujete, taky bezpečnější.

20. led 2013 19:57 #102445
Odpověď od Petr Steel
Pokročilý uživatel
Olalálá zase bludný kruh :D
- zakázat PHP ? a to jak ? to jde pouze glogálně pokud já vím... Nemám v plánu kvůli kousku prostoru na webu zničit 20 webů :D
- když si to uložíte tak si to pak u sebe v prohlížeci otvírejte jak dlouho chcete to už mě netrápí :D tam jde o to, že kdyby tam někdo uložil cíleně třeba php soubor obsahující scandir(), tak aby si nemohl naslitovat kde co, toto byl příklad v našem případě Indexes to nevadí, snacdir ani nepotřebuje :D
- to že htaccess plati i pro podřadné adresáře je mi také novinkou, dneska jste mě naučil už tolik věcí :D Vadí to i když mezi joomlou a indexes jsou 2 složky bez inde#u a pokud v indexes listujete niž tak to hodí 403 ? :D
- pomůže pokud tento indexes prosto hodím místo do /www/domeny/neco.eu/neco/neco/htacces/ například do /www/subdomeny/neco/ to je docela jinde než joomla
- předpokládáte špatně do tohoto prostoru nebudu uploadovat jen já, kdyb jen já tak nedělám cavyky a na tokový vejmysli kašlu :D
- crackování hesel a indexes mají co spolčného ?
- vadí něčemu indexes ?
- nic nemůže vypadat líp než aplikace, kterou mám pro tento prostor připravenou

Přesvědčujete mě o milion zpusobech jak to udělat jinak. Rád bych to udělal jinak, pokud bych to takhle vyloženě nepotřeboval.

Šlo by to udělat třeba takhle :

1. Indexes /wwww/subdomeny/neco/... a výš bude indexes
2. Zablokovat spuštění všeho, co by se eventuelně dalo spustit *
3. Všechny .html soubory půjdou jenom spustit

* = tím myslím všechno co jde od php, po .png . jpg, slyšel jsem, že hackerům nedělá problém upravit strukturu obrázku a zakodovat do ni php script a při načtení obrázku načítá i script, to prý jde udělat aj přes HTML, ale bez toho se prostě neobejdu.

Ale jak zjistím věchny otevřetelné formáty v prohlížeči ? , abych na ně nastavil deny from all ? :D

20. led 2013 20:07 - 20. led 2013 20:24 #102446
Odpověď od karel
Zkušený uživatel
Steele, buď jste moc mladý, nebo nechápající.
Pokud napíšete:

Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO

tak jak se do té složky může dostat ""škodný"" php soubor, před kterým se chcete "chránit" pomocí .htaccesu?

Pokud někdo bude mít způsob, jak k vám na server nahrát na server libovolný soubor, vaše zabezpečeni už selhalo, a následným opatřením jak tento soubor "nespustit" nebo omezit to už významně nezachráníte.



"Nové podmínky":

1. Indexes bude vi ditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout ( bez toho, aniž by šly spustit )
3. Všechny .html soubory půjdou jenom spustit



ad 2) když soubor (txt,css, ...) stáhnu k sobě na disk, a pak si ho otevřu v prohlížeči - čim se to liší od toho, že si ten samý soubor otevře prohlížeč z Vašeho webu rovnou? Jak to souvisí podle Vás s zabezpečením ?

ad 3) "jenom spustit"? co jiného lze ještě (nebo nedejbože nebezpečného) podle Vás lze dělat s html souborem?(jeho obsah se stejně do prohlížeče "stáhne")

Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.

20. led 2013 20:14 #102447
Odpověď od Cony
Moderátor
Bludný kruh to opravdu je, máte to celé smotané dohromady. Pokud tam bude PHP skript a nebude vypnuté PHP tak je úplně jedno co budete mít nastaveno v htaccess, protože ten PHP skript se prostě spustí. Scandir Vám tam asi nikdo uládat nebude, ale jsou daleko nebezpečnější věci co by tam uložit mohl. A Pokud bude povolené PHP tak Vám třeba může upravit i Váš slavný htaccess. Těma direktivama co tam píšete nezabraňujete spouštění na straně serveru.

zakázat PHP ? a to jak ? to jde pouze glogálně pokud já vím...

Z hlavy nevím direktivu, ale mělo by jít v htaccess nastavit co se má a co nemá zpracovávat pomocí PHP

- crackování hesel a indexes mají co spolčného ?

Je daleko pravděpodobnější že Vám někdo něco provede, protože máte povolené Indexes než že by Vám rozkódoval hash hesla v databázi.

slyšel jsem, že hackerům nedělá problém upravit strukturu obrázku a zakodovat do ni php script

Hackeři si mohou upravovat png nebo jpg jak chtějí, ale pokud není na serveru nastaveno, že má PHP zpracovávat i tyto přípony je to úplně jedno.

Rád bych to udělal jinak, pokud bych to takhle vyloženě nepotřeboval.

A důvod? Proč to potřebujete zrovna takhle, nese to sebou plno problému, je to potencionálně nebezpečné, nehezké a bůh ví co ještě.

20. led 2013 20:33 #102448
Odpověď od karel
Zkušený uživatel
php lze zakázat lokálně, pokud to Apache umožňuje:
stackoverflow.com/questions/1271899/disa...tories-with-htaccess

Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.

20. led 2013 20:44 - 20. led 2013 20:51 #102449
Odpověď od Petr Steel
Pokročilý uživatel
Pro milého pana Karla.

Kdyby nebyla možnost tam ty scripty nahrávat tak bych to neřešil. Kdo umí číst má vyhráno. Na poznámky k mému věku nebo inteligenci nejsem zvědavý.

Myslel jsem, že jste chytřejší, ale jestli nevidíte rozdíl, jestli si budete otvírat v PC php a tím jestli mi pomocí jeho budete mazat web nebo skenovat obsah webu. Těžko ze scriptu spouštěného u vás v PC něčeho takovýho docílíte :D

PS : Díky za opravení chyby, příšte si dám pozor.

Cony : Ó pomocí htaccess parametru jde odříznout určitý adresář od používání PHP scriptů, takhle jsem to měl pochopit ? No to mění situaci já myslel, že po mě chcete abych odinstaloval PHP :D To by změnilo z části to o co mi jde, až na jednu věc, PHP není jediná věc, která by mě měla trápit ne ? Co třeba AJAX, jsp, js, asp, a jiný kotel případně škodlivých souborů, které by případně mohly obsahovat škodlivý script.

Ten scandir byl jenom příklad, určitě víte jakých věcí lze pomocí php scriptů dosáhnout.

Pochopte jedno, je mi naprosto buřt jak toho docílit, jde mi jenom o to co potřebuju :

1. Potřebuju, aby co se tam uploadne šlo stáhnou bez pomoci php (GET) nebo mysql a podobných věcí.
2. Potřebuju, aby se nedaly spustit soubory, které by mohly obsahovat něco špatného spustit, nebo zabránit tomu, aby při spuštění nemuhly udělat nějakou neplechu.
3. Potřebuju, aby veškeré nahrané soubory byly přehledně v Indexes

moje 3 požadavky ptám se ještě jednou dá se toho nějak docílit ?

Z části jste mi odpověděl ted, tím blokováním PHP, zkusím to najít a zkusím to tam dát. ;) díky

Karel : díky, ale bohužel jak říkáte nemám možnost této funkce php_flag engine off využít :(

Powered by Fórum