E' da tempo che utilizzo questa chat http://www.phpfreechat.net, che non mi ha mai dato problemi.
Vorrei però avere da voi una conferma:
le discussioni vengono slavate in file log, in directory il cui nome è un lungo insieme di caratteri, che sembrano variare a random per ogni discussione.
Secondo voi le discussioni private possono essere, in qualche modo, lette?
Originariamente inviato da !!\Freedom9/!!
E' da tempo che utilizzo questa chat http://www.phpfreechat.net, che non mi ha mai dato problemi.
Vorrei però avere da voi una conferma:
le discussioni vengono slavate in file log, in directory il cui nome è un lungo insieme di caratteri, che sembrano variare a random per ogni discussione.
Secondo voi le discussioni private possono essere, in qualche modo, lette?
se quel file è accessibile direttamente sicura nn lo è sicuramente
è anche vero che se nn si conosce il nome del file è molto difficile arrivarci
bye
ciAo
Sì, il file è accessibile direttamente e come dici tu, non conoscendo il nome del file non è facile arrivarci. Qualcuno sa se esiste un programma che "sonda" una directory riuscendo a estrarre tutte le cartelle e i file in essa contenuti? Ovviamente, questo programma deve essere eseguito su un server diverso da quello su cui è installata la chat.Originariamente inviato da d@niele
se quel file è accessibile direttamente sicura nn lo è sicuramente
è anche vero che se nn si conosce il nome del file è molto difficile arrivarci
bye
Vi prego, ditemi di no! :rollo:
No, qualunque programma voglia accedere dall'esterno puo' solo passare per il web server, il quale (di norma) non fornisce la lista di file in una directory. Il fatto e' che non si sa mai, metti che per un momentaneo errore di configurazione il web server mostri quella lista.Originariamente inviato da !!\Freedom9/!!
Qualcuno sa se esiste un programma che "sonda" una directory riuscendo a estrarre tutte le cartelle e i file in essa contenuti? Ovviamente, questo programma deve essere eseguito su un server diverso da quello su cui è installata la chat.
Vi prego, ditemi di no! :rollo:
Stesso discorso che si puo' fare per i file .php ("ma i file php vengono interpretati quindi non viene mai mostrato il sorgente"); e se l'interprete php per qualsiasi ragione non funziona?
La soluzione migliore in teoria e' quella di sistemare file del genere fuori dalla document root del web server, ma spesso in hosting questo non e' possibile.
Piuttosto che sulla rintraccibilità di un file di testo in una cartella di un sito, io mi preoccuperei di quello che ci viene scritto dentro.
Mi spiego: se i filtraggi degli input sono quelli stupidi di semplice escaping, penso proprio che il tuo bellissimo file di testo possa trasformarsi in un veicolo per attacchi XSS, o per l'inoculazione di trojan-horses.
Preoccupati di controllare come e quanto vengono filtrati gli input degli utenti perché se un utente inocula un javascript nel testo della chat, e questa non lo filtra, chiunque leggerà quel testo si troverà ad eseguire il JS inoculato.
Penso che sia molto più semplice per un malintenzionato, provare questa strada piuttosto che andare a cercare un nome di un file (random peraltro) in una cartella probabilmente non raggiungibile direttamente!
Permessi di invio
Rispondi quotando