ugrás a tartalomhoz

A WFSZ biztonsági ajánlásai webes fejlesztők számára

trajic · 2003. Aug. 26. (K), 15.16
Az NJSZT Webalkalmazások Fejlesztése Szakosztálya weboldalán közzétette biztonságos webfejlesztésre vonatkozó ajánlásait. A dokumentum egy összefoglaló, folyamatosan épülő referencia kíván lenni e területen, megismerése különösen hasznos lehet a PHP-ben fejlesztőknek, de más nyelveket használók számára is tartalmaz értékes információkat.
 
1

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

Anonymous · 2003. Aug. 26. (K), 22.33
Na, ez egy hasznos cikk.
Köszönet érte.
2

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

Anonymous · 2003. Aug. 27. (Sze), 08.20
Talán még annyit tennék hozzá az adminisztrációs oldalak biztonságához, hogy a .htaccess mellett érdemes a szokásos http (80-as) porttól eltérő admin portot használni. Én pl. így üzemeltetek portált (mert paranoid vagyok):
- az admin user rendelkezzék admin jogokkal a portál felhasználói közt,
- az admin oldalt htaccess védi,
- SSL,
- és pl. mysite.my:8843/?aid=43223 az admin oldal címe. 80-asról nem jön be, csak egy bejegyzést generál a logba. Azért nem /admin, mert az túl egyértelmű.

Üdv:
Jonathan
3

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

c · 2003. Aug. 27. (Sze), 08.57
Nagyon jó írás, csak így tovább!

Az 5. pontban meg lehetne említeni, hogy a .ht hezdetű fileokat (pl. htaccess, .htjelszo ;) vagy bármi más) így tudjuk védeni:

<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

+ az 1. részből nem derül ki, hogy a szerző javasolja-e vagy nem a magic_quotes_gpc=1 használatát (magic_quotes_gpc, nem csak magic_quotes). Sztem ezt nyugodtan egyértelművé lehet tenni (ne használjuk, úgyis ellenőrizzük az adatokat valahol, majd akkor escapeljük az inputot és úgyis csak a baj van vele).
4

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

trajic · 2003. Aug. 27. (Sze), 16.31
Köszönet a pozitív feedbackért.

A .ht* fileok védelmére szolgáló részlet a default httpd.conf-ban is benne van, ezért nem tértem ki erre külön (meg persze az Apache-ot annyi különböző módon lehet biztonságosabbá tenni, amelyek ismertetése bőven túlnő az írás keretein - ezért tettem pl. csak rövid említést az SSL-ről). Persze egyéb visszajelzésekkel párhuzamosan fog bővülni a dokumentum ezen a téren is.

A magic_quotes_gpc használatáról nagyon régóta zajlik vita, a phplistán is volt már thread (itt). Személy szerint ebben a kérdésben nem szeretnék állást foglalni, mivel nagyrészt hitvitának érzem, aminek a megoldása triviális bármilyen beállítás felől is közelítjük. Épp ezért írtam azt, hogy fontosabb ismerni a beállítást (és ennek ismeretében fejleszteni megfelelő megoldást), mint ragaszkodni egy beállításhoz önmagában.
5

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

domdom · 2003. Aug. 27. (Sze), 17.45
a magic_quotes=on résznél a táblázat rossz, mert az aposztrófot is escape-eli, de az Átalakítás oszlopban a backslash lemaradt...

egyébként jó a cikk!
(egy kezdő, gyenge haladó mit ért belőle szerintetek?)
6

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

trajic · 2003. Aug. 27. (Sze), 18.02
Köszönet az észrevételért, a hiba javítva.

Igyekeztem úgy fogalmazni, hogy a kezdők számára se legyen érthetetlen az ajánlástömeg (az indokolt helyeken olyan magyarázatok találhatóak, amelyek egy középhaladó számára teljesen egyértelműek), de valahol valóban kellett egy "vonalat" húzni, hiszen elsősorban ajánlásgyűjtemény készítése volt a cél, nem a PHP leírás részben megismétlése (ami szintén rengeteg információval szolgál ezen a téren!). Egy kezdő igaziból abból profitálhat, ha tud arról, hogy ezt át kell néznie, amikor a nyelv illetve a technológia maga már nem jelent túlzott problémát, és valóban komoly alkalmazást kívánt fejleszteni (amelyért akár pénzt kap például). Az egyes témákban mindenesetre a linkek és egy google.com segítségével azt hiszem, könnyen el lehet mélyedni - ráadásul egy önképzést teljes egészében pótló leírás túlzott biztonságérzetet kelthet az olvasóban :)
7

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

acosh · 2003. Aug. 28. (Cs), 20.13
A Regexp Coach mellett megemlíteném még régi kedvencemet, a Visual Regexp-et is (http://laurent.riesterer.free.fr/regexp/).

Jó lenne a "valid css", "valid html 4.01", stb mintájára egy "valid WFSZ portal" is :-)
8

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

trajic · 2003. Aug. 29. (P), 15.56
A Visual Regexp-tippért köszönet, be is került a Regex Coach mellé.

Egy alapvető dolgokra figyelő ellenőrző script írása egyébként egyáltalán nem elvetendő ötlet, bár sajnos a biztonsági témák legfontosabb része nem igazán ellenőrizhető automatikus eszközökkel (pl. register globals, error reporting, formadatok formátumának ellenőrzése egy teljes siteon, stb.).
Morális oldalról megközelítve: sajnos megvan a veszélye, hogy egy ilyen szolgáltatás felhasználói esetleg máris biztonságosnak éreznék sitejukat, ha az ellenőrzés nem ír ki nagyobb hibát.
9

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

acosh · 2003. Aug. 30. (Szo), 00.17
Azért lehetne egy ellenörző php scriptet írni, amit felmásol az ember a site-ja gyökerébe, lefuttatja, és az mindjárt kilöki neki, hogy "figyelmeztetés: register_globals=On, ez nem baj, de jobban oda kell figyelned...", stb., valamint lehetne benne egy parser is, ami feldolgozza a .php állományokat, és esetleges "biztonsági réseket" keres.
Persze ezt megírni nem 5 perc...
Másik meg hogy mi biztosítja, hogy autentikus a válasza ennek a scriptnek, hiszen ha ez egy sima .php file, akkor átírhatja bárki úgy, hogy mindent tökéletesre jelezzen.
Nem azt kell jelezni, hogy biztonságos-e a site-od, hanem hogy a WFSZ által adott 43 pontos ajánlásból 29-et 100%-ra teljesít, 12-t 60%-ra, 2-t 10%-ra, ami összeségében 87%-ot jelen.

Kicsit elszálltam, no mindegy :-))
10

Re: A WFSZ biztonsági ajánlásai webes fejlesztők számára

Balogh Tibor · 2004. Május. 25. (K), 18.10
A magam részéről – a PHP-vel való rövid ismerkedés után – a következőkkel egészíteném ki az ajánlott dolgokat.
- Regisztrációs form kitöltésekor, ha hibás adatot kaptunk, és újra kiírjuk a formot, akkor a megadott jelszót semmi esetre se írjuk vissza.
- A bejelentkezés ellenőrzésekor az SQL utasításban a felhasználói név és a jelszó ellenőrzésére egyszerű összehasonlító operátort használjunk, ne pedig pl. LIKE vagy más egyéb módszert.
11

hozzájárulás

joed · 2010. Szep. 13. (H), 01.19
Sziasztok!

Mostanában beleástam magam ebbe a témába, több oldalról/forrásból/irodalomból próbáltam minél több információval és ismerettel kiegészíteni eddigi tapasztalataimat. A cikk elég jó, nagyon hasznosnak találtam. Azonban lenne néhány dolog, amivel kiegészíteném. Hogyan tudok beküldeni anyagot? WFSZ tagnak kell hozzá lenni? Rég gondolkodtam a tagságon, lehet itt az ideje :)

Köszi!