Directory permissions - možnost vdora?
4 naročniki
4 naročniki
Kupil sem skripto za banner exchange - http://phpwebscripts.com/easybannerpro/.
Skripto sem uploadal na server v mapo, kjer imam tudi svojo stran.
Določenim mapam moram nastaviti t.i. CHMOD value = 777
To pomeni, da lahko avtor skripte uploada zlonamerno kodo, katero lahko zažene in konec koncev sheka stran? Kakšna je verjetnost da kdo z uploadanjem bannerjev (html kode) skozi to skripto sheka stran oziroma brska po serverju?
Ima kdo kakšne izkušnje s tem?
Verjetno je bolje, da to skripto uploadam na en X "server"?
5 odgovorov
Ja, preseneca me, kako z lahkoto avtorji skript napisejo, da je potrebno na direktorijih uporabiti kar 777. Verjetno zato, ker je najlazje, je pa hkrati tudi najbolj butasto.
Sicer zadeva nima nobene veze s tem, ali avtor lahko uploada zlonamerno kodo ali ne, ce je skripta nastavljena tako, da z weba lahko uploadas fajle, kar skoraj nekako mora biti, ce zelis uploadati oglase, potem je seveda pac mozno uploadati katerikoli fajl. Na skripti je, da poskrbi za to, da ni mogoce uploadati kaksnih fajlov, ki ti lahko skodijo. No, roko na srce, uploadati je mozno vse, skripta mora poskrbeti, da sumljivega fajla pac ne sprocesira, izvede, ne da na webu dostopno mesto, karkoli...
777 sam po sebi ni evil, vedeti moras le, kaj pomeni. pravico branja in pisanja za datoteke imajo vsi uporabniki streznika, najslabsa je odlocitev za uporabo tega seveda na shared hostingih. Na dedicated strezniku, kamor imas dostop le ti, 777 niti ni nek hud problem sam po sebi.
Je pa seveda tako kot je rekel dbMG, vse se da resit brez uporabe 777, kontaktiraj skrbnika tvojega streznika in ga poprosi za pomoc, pa naj on nastavi zadeve tako, da bodo najbolj optimalne za tvoj primer.
Hvala za pojasnila. No, glede na množičnost uporabe sistema, mislim, da do zlorab s strani avtorja ne bi smelo priti. Userja pa tako ali tako vsakega posebej odobrim.
