Starší komentáře ke článku: Bezpečnost především - cross-site skripting a session-stealing

Autor komentáře: Petr Simonek

Datum vložení: 16.8.2002 0:29:34

Co takle kract(i menit) session rovnou na serveru. Jedina podminka je mit okradany web a svuj web na jednom pocitaci. Coz neni zadny problem u hostingovych spolecnosti:) Ale zkuseny programator si toto umi ohlidat.

Autor komentáře: Pavel Růžička

Datum vložení: 16.8.2002 13:17:18

Ano, máte pravdu - díky za tip na pokračování seriálu, takových věcí je více - např. povolené include z nadřazených adresářů a řada dalších bezpečnostních problémů, které tentokrát nejdou na vrub programátora, ale správce serveru.

Autor komentáře: Petr Simonek

Datum vložení: 16.8.2002 15:47:45

Nemyslim funkce jako include, fopen.., ktere jsou ochraneny vetsinou safemodem nebo basedirem... Ale spolecny adresar pro ukladani session pro cely server. Staci pouzit fci session_save_path() jako programator nebo mit na serveru pro kazdy web vyhrazeny jiny adresar na ukladani session (spravci).

Takovejdlech podobnej der je v PHP jeste hodne:(

Autor komentáře: radši bezejména :)

Datum vložení: 23.8.2002 9:55:03

Kdysi jsme meli nekolik webu u PSA, po prihlaseni se SSH byl povolen pristup i jinych /home/ adresaru nez do toho naseho. Takze clovek kdyz chtel, prosel si vsechny cizi skripty, zjistil jmena k databazim apod.
Z tohoto duvodu uz mame weby jinde, ale reknete, k cemu je vsechno tohle zabezpecovani, kdyz samotny spravce serveru tam necha takovouhle diru?

P.S. abych jen nekritizoval, tak pevne verim tomu ze tuhle chybu jiz odstranili, nebo zakazali SSH pristup uplne :)

Autor komentáře: Tomáš Vondra

Datum vložení: 24.8.2002 16:16:30

Zakázali SSH přístup úplně? Předpokládám že přešli na vysoce bezpečné FTP, ne? Ale co je to za vylepšení bezpečnosti? To uz muzou rovnou prejit na telnet...

Autor komentáře: kriplozoik

Datum vložení: 4.11.2003 10:26:51

Skutecne je nove okno po otevreni *vzdy* bez historie. Na nekterych prohlicecich se toto da nastavit, pokud vim...

Autor komentáře: plzi

Datum vložení: 29.7.2005 15:21:57

Kde vezmu promenne $HTTP_X_FORWARDED_FOR $HTTP_FORWARDED $HTTP_CLIENT_IP a $X_HTTP_FORWARDED_FOR ? Vim, ze $REMOTE_ADDR; je v $_SERVER[], ale zbytek? Diky

Autor komentáře: Vilém Málek

Datum vložení: 29.7.2005 16:41:06

1. http://www.php.net/manual/en/function.phpinfo.php 2. http://www.php.net/manual/en/language.variables.php

Autor komentáře: Leo

Datum vložení: 29.7.2005 21:41:55

Zbytek je taky v $_SERVER, ale samozrejme jen pokud se v http hlavicce prislusne casti vyskytuji :-) Leo