phpremoteview - как защититься?

Макс

Старожил PHPClub
Tonn
чтобы полнгостью ответить на твой вопрос
Админы, подскажите, пожалуйста, моему саппорту, что им сделать?
нужно провести аудит твоего хостинга на дыры.
А это стоит денег
 

confguru

ExAdmin
Команда форума
Ткнуть его носом в форум секюрити на
в клубе - умные админы - крупных хостингов
сюда частенько заглядывают - кабы не
потерять квалификацию ,)
 

Tonn

Новичок
Автор оригинала: Maxim Matyukhin
Tonn
чтобы полнгостью ответить на твой вопрос
нужно провести аудит твоего хостинга на дыры.
А это стоит денег
Дыру я нашел и написал. Что дальше?
 

Net.Ru

Новичок
В тех же инструкциях на сайте PHP описывалось как его поставить в CGI, чтобы расширения принимались .php, это RTFM. Также можно порекомендовать сделать поиск в сети по "shared hosting php security".
Можно еще глянуть http://www.webhostingtalk.ru/cgi-bin/ib3/ikonboard.cgi?act=ST&f=5&t=168
 

Tonn

Новичок
Ок. Ищу новый безопасный хостинг. :|

Но в целом позиция некоторых участников форума насторожила.
 

si

Administrator
Но в целом позиция некоторых участников форума насторожила.
ваши проблемы, у нас тут не клуб поддержки нерадивых админов, а c умными и думающими людьми тут всегда делятся знаниями и опытом.
 

Tonn

Новичок
Автор оригинала: si
ваши проблемы, у нас тут не клуб поддержки нерадивых админов, а c умными и думающими людьми тут всегда делятся знаниями и опытом.
Не спорю, Frutik и Net.ru мне дали полезные ссылки.
 

Scarab

Guest
Решение проблемы существует, другое дело, что оно требует наличия у админов некоторого количества мозгов. А сейчас очень распространено явление, когда в компании берут в качестве админов студентов за $400. И понятно, что там не одна дырка будет - так другая.
В "Русском экспрессе", светлая ему память, эта проблема была решена изначально путем пропатчивания апача: в зависимости от виртуалхоста апач делал setuid() в нужного юзера и дальше работал уже под ним. При этом на юзерские директории стояли права 700, и все были счастливы. Ну и плюс дополнительные патчи были наложены на PHP, на suexec и вообще на все, что движется.
Написать такой патч - не является проблемой даже не для супер-гуру. Я сам писал подобные вещи за пару вечеров для себя, при том, что я не спец в C. А уж если контора занимается хостингом - то и вообще сам Бог велел.
Но - я уже сказал: по большей части админы большинства небольших (и недорогих) хостинг-провайдеров в лучшем случае находятся на уровне админов "стандартных систем". И перекраивать ее на свой лад они уже не способны. А хороший хостинг-сервис на базе стандартной системы построить невозможно.
Ну а что касается клиентов - то Вам просто надо выбирать - идти в хостинг за $3/мес. и быть готовым, что Вас отымеет первый желающий, либо воспользоваться хостингом за $30 - но быть уверенным в надежности системы. Ну а правильные параноики - welcome to Rusonyx :)
 

KR

alive in new life
Попробую внести предложение следующего содержания.

Может быть при написании полноценного сайта "под ключ" имеет смысл включать в него phpremoteview?

Это позволит заказчику самостоятельно оценить безопасность хостинга, который он выбрал.
Обезопасит программиста от возможных обвинений в недобросовсетности при взломе сайта на небезопасных хостингах.
 

Tonn

Новичок
В следующих версиях Апача собираются что-либо по этому поводу предпринимать?

А то как-то странно слышать о необходимости патчить ОГРОМНУЮ дыру.
 

tony2001

TeaM PHPClub
>А то как-то странно слышать о необходимости патчить ОГРОМНУЮ дыру.
огромная дыра - в голове у админа.
патч - это как один из вариантов решения проблемы, если вы еще это не поняли.
стандартные варианты решения описаны в мануале.
 

Ilia

Guest
Неужели, единственный способ избежать проблемы - это правка Апача или запуск PHP как CGI ?
 

RomikChef

Guest
Tonn, ты до сих пор не понял?

Как бы тебе объяснить-то... попримитивнее...

послушай.
Ты пришел ко врачу.
говоришь - у меня вот нога болит.
а он "я не знаю, как лечить". И ты пойдешь по знакомым узнавать, как лечить ногу, чтобы все это врачу рассказать?
и будешь ПРОДОЛЖАТЬ у него лечиться?

Если хостер - идиот, то отсутствие безопасности рнр-скриптов - это симптом!

Ты можешь отличить причину от следствия?

Дефейс происходит не там, где рнр модулем, а там, где админ - лох!
Админ у тебя - лох. Згначит, дефейс все равно будет.

Ты понимаешь, что ты лечишь симптом, а не болезнь?
И вылечив его, у тебя НИКАКОЙ гарантии на то, что дыр еще 10, о которых ты ничего не знаешь, а админ - ОБЯЗАН знать?

Впрочем, судя по уровню твоих вопросов, такая логика тебе не под силу.
 

RomikChef

Guest
А точнее, админ - жадный.
Вместо того, чтобы просто запускать по апачу на юзера, жмется и пихает юзеров на машины, как сельдей в бочку.
 

Scarab

Guest
Автор оригинала: RomikChef
А точнее, админ - жадный.
Вместо того, чтобы просто запускать по апачу на юзера, жмется и пихает юзеров на машины, как сельдей в бочку.
Хм. Ты себе хорошо представляешь, что будет, если ты на пару тысяч пользователей будешь держать по апачу?
 
Сверху