Sicurezza Pagina

[giorgiotave]

Volevo fare una domanda......

Se nel server dove ospita il mio sito metto una pagina php non linktata da nessuna parte(quindi conosco solo io)

Poi quella pagina e formata in sostanza

if($password=nomepassword)
{
echo "ok";
}else{
echo $formpassword;
}


Quante possibilita ci sono che me la buchino?

[saibal]

il problema non è tanto dove metti la pagina ma il codice in sè.

se il tuo sito è poco frequentato, non se lo fila nessuno e non hai dati importanti da mantenerere puoi anche usarlo.

ma rimane il fatto che non è un codice proprio sicuro.

[piero.mac]

una password in chiaro e' sempre una password in chiaro, mettila dove vuoi..... db, file, costanti e quanto puo' venire in mente.

Possono esserci difficolta' crescenti, ma escluderei che un cracker usi il browser. Sarebbe come andare a rubare in banca usando il pulmann di linea.

[aserena]

Originariamente inviato da giorgiotave
Quante possibilita ci sono che me la buchino?

così come l'hai scritta direi il 100%.....
if($password=nomepassword)


cmq in effetti l'unico modo che avrebbe il tizio sarebbe quello di conoscere la password, potrebbe tentare un pò di volte da url ma a meno che la pwd non sia 'admin' escludo che ci riesca ...

Quel codice abbinato ad una select in un db farebbe molta paura, ma così secondo me stai abb tranquillo anche se nn è di sicuro il sistema migliore per un'area protetta


ciao

[giorgiotave]

x saibal

la mia pagina che non e likata da nessuna parte del mondo

si chiama per esempio kjhytdv27jb.php

Mi spieghi in teoria come mi puo bucare la pagina

Se non si puo qui anche in pvt

X piero la password e contenuta nella stessa pagina e non la puo vedere nessuno perche la pagina e .php vero?
un craker che cosa usa per il web?

X asera

mi spieghi anche solo in teoria il sitema migliore

[piero.mac]

Aprirei una backdoor con i permessi di root e poi, in shell, vado a spasso e leggo/modifico tutto quel che mi pare, compreso mandare spam con il tuo account, azzerarti il db, sostituire i tuoi file e quant'altro mi passi per la zucca.

La sicurezza non dipende tanto da dove e come metti i tuoi dati, ma da come e' gestito il sito in primis. Se poi la password e "hashata" nessuno si sogna di perdere il tempo per decodificarla. Basta crearne una nuova.

Per quanto riguarda leggere i file .php questo dipende dal server HTTP (di solito apache) e non dal PHP. Non lo leggi perche' viene parsato dal server e ti manda solo il risultato dell'elaborazione.
Ma se non lo chiamo via http.....

[PaTeR]

Originariamente inviato da giorgiotave
Volevo fare una domanda......

Se nel server dove ospita il mio sito metto una pagina php non linktata da nessuna parte(quindi conosco solo io)

Poi quella pagina e formata in sostanza

if($password=nomepassword)
{
echo "ok";
}else{
echo $formpassword;
}


Quante possibilita ci sono che me la buchino?

non sei un pò OT?

[giorgiotave]

Piero ti ho mandato un pvt



Sono Ot?

Nel forum di php posto un codice per chiedere se e sicuro?

Ma ti avevo detto di non rispondere ai post se non sai la risposta

Ma non ti accorgi che sei pesante?Stai rovinando il forum di php smettila!!!!

Spero che i moderatori si accorganano

Non rispondere perche
mi stai rovinando il 3d e me lo fai chiudere

[piero.mac]

Ho letto. Ma non posso fare il docente craker.

Conosco alcune procedure ed il modo di pararle, ma e' parte del mio lavoro. Ti posso solo indicare in google la fonte migliore per reperire info. Esistono forum appositi dove le novita' circolano di qualche mese in anticipo su microsoft.

Ti posto un link dove vengono indicate alcune funzioni svolte da un paio di questi programmi.

http://www.notrace.it/articoli.asp?codice=35

nel menu' puoi trovare altri svariati argomenti sulla sicurezza.

Ma ricorda che la prima difesa e' non divulgare mai i metodi che usi per proteggerti. Fatta la legge si trova l'inganno... vero? Quindi non parlare della tua legge di protezione adottata.

Speriamo nella prossima pillola (promessa) di daniele_dll esperto di sistemi di sicurezza.

Intanto se leggi qualcosa, troverai che il problema che hai inizialmente posto e' nulla in confronto a quello che fanno quando accedono ad un PC con intenzioni fraudolente. Cambiare la homepage e' solo un gioco. Si fanno scommesse su chi buca piu' siti, e guarda caso la maggior parte dei siti bucati usano linux. Quindi LINUX non e' sinonimo di sicurezza. Diciamo che ha forse armi migliori di winzozzo a disposizione ma se queste non si usano.....

[IlNata]

Originariamente inviato da piero.mac
Aprirei una backdoor con i permessi di root e poi, in shell, vado a spasso e leggo/modifico tutto quel che mi pare, compreso mandare spam con il tuo account, azzerarti il db, sostituire i tuoi file e quant'altro mi passi per la zucca.

La sicurezza non dipende tanto da dove e come metti i tuoi dati, ma da come e' gestito il sito in primis. Se poi la password e "hashata" nessuno si sogna di perdere il tempo per decodificarla. Basta crearne una nuova.

Per quanto riguarda leggere i file .php questo dipende dal server HTTP (di solito apache) e non dal PHP. Non lo leggi perche' viene parsato dal server e ti manda solo il risultato dell'elaborazione.
Ma se non lo chiamo via http.....

Ora te parli facile come se fosse un gioco da ragazzi.. ma se il mio sito lo ospito su un server di qualche hoster avrà le sue sicurezze.. Speroo