Ciao a tutti.
Mi chiedevo se era pericoloso avere cartelle con permessi 777.
Alla fine sono abilitate alla scrittura al pubblico e di conseguenza mi chiedevo se un attacco poteva partire proprio da li.
Ci sono delle precauzioni che si possono prendere?
Grazie!
bhe una volta completato il lavoro e messo al pubblico in genere i permessi nn sono più 777.Originariamente inviato da zoc
Ciao a tutti.
Mi chiedevo se era pericoloso avere cartelle con permessi 777.
Alla fine sono abilitate alla scrittura al pubblico e di conseguenza mi chiedevo se un attacco poteva partire proprio da li.
Ci sono delle precauzioni che si possono prendere?
Grazie!
dovrebbe bastare 755.
e se da un pannello di controllo l'utente autenticato potesse uplodare per esempio delle immagini?
grazie!
in quel caso potresti ad esempio lasciare i permessi di scrittura e vedere se tutto funziona togliendo quelli in esecuzion: ma chiaramente dipende molto da come è fatto il sistemaOriginariamente inviato da zoc
e se da un pannello di controllo l'utente autenticato potesse uplodare per esempio delle immagini?
grazie!
il sistema uploda file immagini in una determinata cartella. Funziona solo se la cartella ha i permessi 777 e se l'utente è loggato (tramite un sistema di autenticazione con session).
Lo script è quello standard del php (o almeno penso)
codice:if(@is_uploaded_file($tempFile)) { @move_uploaded_file($tempFile, "miaDirectory") or die(); }
La mia paura è che un malintenzionato riesca, per colpa dei permessi a 777, a prendere possesso della macchina eseguendo o scrivendo qualcosa in quella cartella.
grazie mille!
chiaramente una sicurezza al 100% non puoi averla, devi tentare di ridurre il rischio il più possibile cercando ci capire quale sia il sistema migliore in base anche a come è organizzato il server web (e il server in generale). Ad esempio in alcune configurazioni abbastanza standard con virtualhost si fa girare la web application con la stessa utenza del dominio in questione, in questo modo se anche ci fosse un problema di sicurezza si avrebbe comunque solo all'interno di una zona ben specifica (quella appunto del dominio) e non siull'intero server(vedi chown e chmod).
In questi casi l'utenza che si usa è proprio quella FTP, quella che magari i clienti usano per uplodare file, risorse, ecc.
(non so se sono stato proprio chiarissimo, sono in ultra ritardo :P perciò se hai dubbi o domande prova a chiedere senza problemi
sei stato chiaro... ma vorrei raggiungere la sicurezza anche all'interno del singolo dominio.
Leggendo in giro vedo che l'impostazione migliore da mettere sulle cartelle è 755. Ma così facendo il sistema di upload file via http non funziona...
Ma in che modo il malintenzionato potrebbe accedere alla cartella e per esempio cancellare i file?
grazie ancora!
la situazione che ti ho descritto nel post precedente non è che non sia sicura per il dominio: intendevo solo dire che per quanto possiamo stare attenti si può dire che la sicurezza al 100% non esista...soprattutto con piattaforme come Joomla!Originariamente inviato da zoc
sei stato chiaro... ma vorrei raggiungere la sicurezza anche all'interno del singolo dominio.
Sì 755 va benissimo, devi solo verificare a questo punto l'utente e il gruppo dei file. Con 755 stai dando i diritti di scrittura solo per l'utente proprietario del file: assicurati che la cartella in cui metti i file uplodati abbia lo stesso utente con cui gira l'applicativo, e il problema dovrebbe risolversi (per cambiare utente/gruppo usi chown)Originariamente inviato da zoc
Leggendo in giro vedo che l'impostazione migliore da mettere sulle cartelle è 755. Ma così facendo il sistema di upload file via http non funziona...
Ma in che modo il malintenzionato potrebbe accedere alla cartella e per esempio cancellare i file?
grazie ancora!
mmm, perdonami... mi sta venendo un po' di confusione...Sì 755 va benissimo, devi solo verificare a questo punto l'utente e il gruppo dei file. Con 755 stai dando i diritti di scrittura solo per l'utente proprietario del file: assicurati che la cartella in cui metti i file uplodati abbia lo stesso utente con cui gira l'applicativo, e il problema dovrebbe risolversi (per cambiare utente/gruppo usi chown)
con un gestionale fatto tutta via http, con autenticazione tramite form > apertura session, come posso fare per dare all'utente i diritti di cui parli? ora l'unico modo di fare scrivere file all'interno della cartella è metterla a 777.
dovresti verificare l'owner e il group, questo puoi farlo da FTP (ad esempio con filezilla vedi il proprietario e il gruppo di ogni file sulla colonna dedicata), ma per cambiarli avresti bisogno di accedere da console al server, attraverso SSH ad esempio, non puoi farlo attraverso FTP. Dovresti accedere con il terminale linux e lanciare il comando chown opportunamente impostato per il tuo dominio
Permessi di invio
Rispondi quotando