שלום לכולם!

[eldarinn]

שלום לכולם!

יש לי שאלה היפותטית. אני לא מבין בשיט בתכנות ובקודים וענייני יותר עוסקים בצד האסתטי. עשיתי אתר מסויים שאני מייעד אותו כרגע למשקיעים. לא מדובר בעניין כספי מיוחד או פטנט, פשוט יש שם עיצוב של גופי תאורה שאני מעדיף שכרגע לא יסתובבו ברשת אבל במידה והם יגיעו לרשת אין כאן אובדן ברמת התאבדות מקצועית

. הכנסתי מהוטסקריפטס או מאיפשהו כבר לא זוכר - סקריפט שכל עניינו לבצע לוגין למשתמש ע"פ סיסמאות שנקבעות על ידי ומאוחסנות בקובץ חיצוני, והוא כמובן עוקב שהאדם מחובר עם סקריפט בכל העמודים הפנימיים ואם הוא לא אז הוא מקפיץ אותו בחזרה ללוגין באינדקס. כמובן שכל המערכת הזו ב PHP. השאלה שלי היא בעצם כמה האתר הזה ניתן למעקף על ידי מישהו שיבוא וישיג את הקוד בצורה כלשהיא? את הסקריפטים של ה PHP לא ראוים ב VIEW SOURCE כשהם עובדים; במילים אחרות עד כמה צריך להיות גאון/להשקיע/להיות סתם משועמם - בשביל להיכנס לשם? תודה מראש - - טל

 

[idanbismut]

דעתי בנידון....

במידה והגישה לאתר נקבעת ע"פי קובץ בו מאוחסנים כלל הנתונים (שם + סיסמה), לטעמי הדבר החשוב שיש לך לדאוג בעצם הוא אבטחה של הקובץ והספרייה בו נמצא הקובץ. א. תוודא שבמידה וזה מסד נתונים, תגן עליו בקוד וסיסמה - נתונים שנקראים מתוך השרת עצמו, מספרייה מוגנת, ולא נמצאים בקוד הזמין המוצג למשתמש. ב. תוודא שמיקום הקובץ יהיה בנתיב שונה ומופרד משאר קבצי הקוד. ג. במידה וזה נלקח מסקריפט קיים, תשתדל לשנות מיקום מוסכם (או ברירת המחדל) במקרה הזה של הקובץ ושם התקיה בה הוא נמצא. ד. שאין DIRECTORY LISTING לאותה ספרייה בה נמצאים הקבצים. ה. עוד משהו שאני יודע שניתן לעשות ב- ASP, ייתכן שגם ב- PHP, וזה כתיבת אובייקט COM בעזרת ויזואל בייסק / ויזואל סי, עם ההרשאות לספריה/בסיס-נתונים, ואז קריאה לפוקנציה שבתוך הקובץ מהקוד עצמו - קובץ ה-COM עצמו יושב על רשת פנימית מאובטחת, שמוגנת מאחורי שרת אבטחת מידע עם פיירוול , ויותר מאובטח מזה לא נגיע...

לגבי סעיף ג', אני יכול לתת לך דוגמה שקראתי פעם שהיו כאלה שהשתמשו בידע מסקריפטים בעלי קוד פתוח לפרוץ לאתרים שלא אובטחו ברמה מקצועית.מכיוון שהיה ידוע שבסיס הנתונים נמצא תחת תקייה בשם DATA ושם הקובץ היה ידוע, אז היו כאלה שהצליחו לנחש את המיקום הישיר של הקובץ, על השרת, שמרו אותו לדיסק הקשיח, ואז בעצם פרצו את הקובץ ואת כלל המידע שהיה בתוכו..

אולם, יש לזכור, שאבטחת מידע זה נושא מורכב, ולעיתים לא משנה מה תעשה, תמיד יהיה מישהו גאון (או משועמם כפי שקראת לו...

) שיצליח לחדור לשרת... זה הכל, מקווה שעזרתי לך בדעתי האישית על הנושא - דברים מינימליים, לפי דעתי, שניתן לעשות כדי להגן על מידע.

 

[Mr Boggy Man]

ויותר מאובטח מזה לא נגיע?!

יותר מאובטח מזה נגיע בהרבה. פיירוואל לא עושה כלום חוץ מלומר לאיקס שהוא לא מורשה במערכת. אני מניח שאתה עובד עם לינוקס במחשב שאתה רוצה לאבטח: תתקין iptables ותקנפג תסגור שירותים לא נחוצים תקשיח את המערכת עם סיסמאות משופרות (ע.ע mkpasswd) תעדכן כל הזמן תבנה את הסקריפט -בעצמך שים פיירוואל תקנפג את כל השירותים. אין רוחות במערכת! תקים IDS כל תנוע במערכת נשמרת בלוג על סרבר אחר בעזרת לוג סרבר. עוד פרטים? צור איתי קשר באייסיקיו שמספרו הוא: 176215470

 

[N i X]

iptables זה לא firewall?

 

[Mr Boggy Man]

לא.

בעזרת iptables אתה יכול לקנפג ניטורים ולוגינג. פיירוואל אתה רק חוסם ונותן גישה לאייפיאים מסויימים (או כולם) דרך פורט מסויים.

 

[eldarinn]

תודה רבה לכולכם ../images/Emo39.gif

נראה לי שקצת הלכתם רחוק מול ההבנה שלי במונחים טכניים, שלא לדבר על העובדה שאני לא מאבטח סניף של הבנק של שוויץ

נראה לי שאני אעבור דוקא על כמה מהעצות שהבחור הראשון נתן, זה עשוי להיות מעל ומעבר למה שאני צריך. שוב תודה!

 

[N i X]

כן

iptables הוא ipchains לקרנלים מעל 2.4, הוא מבוסס על netfilter (אם אני לא טועה...) והוא כן פירוואל לכל דבר, אתה יכול לחסום, לאשר, לנטר, ולרשום לוגים. ציטוט מ iptables.org:

What is netfilter/iptables? The netfilter/iptables project is the Linux 2.4.x / 2.5.x firewalling subsystem.It delivers you the functionality of packet filtering (stateless or stateful), all different kinds of NAT (Network Address Translation) and packet mangling.​

 

[Mr Boggy Man]

בסדר. אני אומר שהוא לא פיירוואל

כי הוא הרבה מעל זה. פיירוואל זה הבסיס של הבסיס של iptables. ואישית לי יש גם פיירוואל על המערכת וגם iptables.