Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
htaccess
ad 2/ ano php se normálně spustí, aby se nespustilo musel by jste zakázat PHP. S tím jak prohlížeč stažený obsah zobrazí, nebo zpracuje to nemá co dělat.2. Takže když kliknu na ten odkaz co jsem Vám poslal tak ten script zároven' spouštím ? No to je to co nechci, dá se to nějak zablokovat?
3. Na chybu jste přišel normálně nebo až po stažení a otevření v prohlížeči ?
4. Co by tento htaccess dělal v adresáři joomly, však je od joomly o 4 adresáře výše
5. S databází to také řekl nemá nic ani z letadla, ale vy jste zkušenejší nevím.
ad 3/ Jednoduše když na odkaz kliknete, dáte si uložit jako a pak otevřít v prohlížeči tak vidíte obsah vygenerovaného HTML.
ad 4/ Jestli tohle máte NAD úrovní Joomly tak to co nejrychleji smažte. htaccess platí i pro podřazené adresáře, a právě z důvodu aby nefungovala možnost Indexes má Joomla v každém adresáři prázdný index.html. Vystavujete se riziku že si někdo prohlédne co by jste nechtěl.
ad 5/ localhost neznamená databáze, o té jsem nemluvil vůbec.
Nejjednoduššeji zajistíte nespouštění ničeho škodlivého tak, že tam nic škodlivého nebude, předpokládám, že soubory tam dáváte Vy.Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO Zktrákta jen pár HTML souborů a je nezbytné, aby ostatní se stahovalo, zároven' je nezbytné, aby se nedalo spustit tedy vykonat scriptu napsaného v .php nebo jiných podobných škodných souborech.
Na jednu stranu jste zde řešil rozkódovávání hesel apod, na druhou chcete povolovat Indexes? Máte tam Joomlu, ninstalujte nějakou komponentu na stahování, nejenže to bude vypadat líp, bude to i funkčnější a navíc, vzhledem k tomu že se až tak v problematice neorientujete, taky bezpečnější.PS : neměl jsem to pochopit tak, že to takhle udělat nejde ?
- zakázat PHP ? a to jak ? to jde pouze glogálně pokud já vím... Nemám v plánu kvůli kousku prostoru na webu zničit 20 webů
- když si to uložíte tak si to pak u sebe v prohlížeci otvírejte jak dlouho chcete to už mě netrápí tam jde o to, že kdyby tam někdo uložil cíleně třeba php soubor obsahující scandir(), tak aby si nemohl naslitovat kde co, toto byl příklad v našem případě Indexes to nevadí, snacdir ani nepotřebuje
- to že htaccess plati i pro podřadné adresáře je mi také novinkou, dneska jste mě naučil už tolik věcí Vadí to i když mezi joomlou a indexes jsou 2 složky bez inde#u a pokud v indexes listujete niž tak to hodí 403 ?
- pomůže pokud tento indexes prosto hodím místo do /www/domeny/neco.eu/neco/neco/htacces/ například do /www/subdomeny/neco/ to je docela jinde než joomla
- předpokládáte špatně do tohoto prostoru nebudu uploadovat jen já, kdyb jen já tak nedělám cavyky a na tokový vejmysli kašlu
- crackování hesel a indexes mají co spolčného ?
- vadí něčemu indexes ?
- nic nemůže vypadat líp než aplikace, kterou mám pro tento prostor připravenou
Přesvědčujete mě o milion zpusobech jak to udělat jinak. Rád bych to udělal jinak, pokud bych to takhle vyloženě nepotřeboval.
Šlo by to udělat třeba takhle :
1. Indexes /wwww/subdomeny/neco/... a výš bude indexes
2. Zablokovat spuštění všeho, co by se eventuelně dalo spustit *
3. Všechny .html soubory půjdou jenom spustit
* = tím myslím všechno co jde od php, po .png . jpg, slyšel jsem, že hackerům nedělá problém upravit strukturu obrázku a zakodovat do ni php script a při načtení obrázku načítá i script, to prý jde udělat aj přes HTML, ale bez toho se prostě neobejdu.
Ale jak zjistím věchny otevřetelné formáty v prohlížeči ? , abych na ně nastavil deny from all ?
Pokud napíšete:
tak jak se do té složky může dostat ""škodný"" php soubor, před kterým se chcete "chránit" pomocí .htaccesu?Nevidím na tom nic jednoduššího v té části webu chci zkrátka používat pouze pár .html souborů bez css, bez php, bez mysql, bez NIČEHO
Pokud někdo bude mít způsob, jak k vám na server nahrát na server libovolný soubor, vaše zabezpečeni už selhalo, a následným opatřením jak tento soubor "nespustit" nebo omezit to už významně nezachráníte.
"Nové podmínky":
1. Indexes bude vi ditelný pro všechny
2. Všechny soubory půjdou jenom stáhnout ( bez toho, aniž by šly spustit )
3. Všechny .html soubory půjdou jenom spustit
ad 2) když soubor (txt,css, ...) stáhnu k sobě na disk, a pak si ho otevřu v prohlížeči - čim se to liší od toho, že si ten samý soubor otevře prohlížeč z Vašeho webu rovnou? Jak to souvisí podle Vás s zabezpečením ?
ad 3) "jenom spustit"? co jiného lze ještě (nebo nedejbože nebezpečného) podle Vás lze dělat s html souborem?(jeho obsah se stejně do prohlížeče "stáhne")
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Z hlavy nevím direktivu, ale mělo by jít v htaccess nastavit co se má a co nemá zpracovávat pomocí PHPzakázat PHP ? a to jak ? to jde pouze glogálně pokud já vím...
Je daleko pravděpodobnější že Vám někdo něco provede, protože máte povolené Indexes než že by Vám rozkódoval hash hesla v databázi.- crackování hesel a indexes mají co spolčného ?
Hackeři si mohou upravovat png nebo jpg jak chtějí, ale pokud není na serveru nastaveno, že má PHP zpracovávat i tyto přípony je to úplně jedno.slyšel jsem, že hackerům nedělá problém upravit strukturu obrázku a zakodovat do ni php script
A důvod? Proč to potřebujete zrovna takhle, nese to sebou plno problému, je to potencionálně nebezpečné, nehezké a bůh ví co ještě.Rád bych to udělal jinak, pokud bych to takhle vyloženě nepotřeboval.
stackoverflow.com/questions/1271899/disa...tories-with-htaccess
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Kdyby nebyla možnost tam ty scripty nahrávat tak bych to neřešil. Kdo umí číst má vyhráno. Na poznámky k mému věku nebo inteligenci nejsem zvědavý.
Myslel jsem, že jste chytřejší, ale jestli nevidíte rozdíl, jestli si budete otvírat v PC php a tím jestli mi pomocí jeho budete mazat web nebo skenovat obsah webu. Těžko ze scriptu spouštěného u vás v PC něčeho takovýho docílíte
PS : Díky za opravení chyby, příšte si dám pozor.
Cony : Ó pomocí htaccess parametru jde odříznout určitý adresář od používání PHP scriptů, takhle jsem to měl pochopit ? No to mění situaci já myslel, že po mě chcete abych odinstaloval PHP To by změnilo z části to o co mi jde, až na jednu věc, PHP není jediná věc, která by mě měla trápit ne ? Co třeba AJAX, jsp, js, asp, a jiný kotel případně škodlivých souborů, které by případně mohly obsahovat škodlivý script.
Ten scandir byl jenom příklad, určitě víte jakých věcí lze pomocí php scriptů dosáhnout.
Pochopte jedno, je mi naprosto buřt jak toho docílit, jde mi jenom o to co potřebuju :
1. Potřebuju, aby co se tam uploadne šlo stáhnou bez pomoci php (GET) nebo mysql a podobných věcí.
2. Potřebuju, aby se nedaly spustit soubory, které by mohly obsahovat něco špatného spustit, nebo zabránit tomu, aby při spuštění nemuhly udělat nějakou neplechu.
3. Potřebuju, aby veškeré nahrané soubory byly přehledně v Indexes
moje 3 požadavky ptám se ještě jednou dá se toho nějak docílit ?
Z části jste mi odpověděl ted, tím blokováním PHP, zkusím to najít a zkusím to tam dát. díky
Karel : díky, ale bohužel jak říkáte nemám možnost této funkce php_flag engine off využít