ugrás a tartalomhoz

Biztonságos PHP oldal készítésekor mire figyeljek?

TIV · 2006. Okt. 1. (V), 19.04
Üdv!

Felkértek egy weblap elkészítésére amelyről már most tudni lehet, h emberek még fizetni is fognak azért, hogy feltörjék. A programozási rész biztonságát nekem kell biztosítanom. Nem túl sok szolgáltatással rendelkező oldal, mindössze egy hírlevél, fotóalbum ami úgy más mint a többi, amin csak szöveg és kép van. Mégis kérlek írjátok meg mikre kell figyelnem, minden kis apróságot említsetek kérlek meg akár 1 szóval is, majd ha nem tudom mire gondoltatok akkor visszaírok csak ne haggyatok ki semmit, ami fontos. A hírlevél image verificationt használ, elég bonyi képpel:) includeok létezése ellenőrizve, $_POST, mi az, ami még veszélyes lehet? fórum vagy olyan oldal - a hírlevélen kívül - amin befele mennek adatok NINCS. NAGYON Köszönöm!

Szerver oldali törésről.: Melyik webkiszolgálót ajánljátok amely NAGYON biztonságos és max 10-12 ezer /év (ebben már domain is bennelehetne)

Én az UltraWebre gondoltam. Mit gondoltok erről? Szükség lehet a ip címek tiltásáról ám ha jól tudom uwn nem lehet lekérdezni a ip címeket.

Nagyon köszönöm!
Kis Tivadar
 
1

re

toxin · 2006. Okt. 1. (V), 20.09
http://wfsz.njszt.hu/projektek_biztonsag.php

üdv t
2

Link

Anonymous · 2006. Okt. 2. (H), 09.50
http://phpsec.org/projects/guide/

Ha nincs dinamikus tartalom a lapon, akkor tök könnyü megvédeni :) statikus html, és jó napot :)
3

Ultraweb?

suexID · 2006. Okt. 2. (H), 10.27
Ultrawebet akkor és csakis akkor, ha szereted kísérteni a sorsodat.

Én egyébként őket ajánlom:
http://www.frontember.hu
4

csatlakozom

Marcell · 2006. Okt. 2. (H), 12.13
Az Ultrawebbel tényleg ne égesd magad, ilyen szempontból nagyon gány. Nekem többször törték fel a felhasználónevem, meg letöltötték a PHP oldalaim - és egyik akciónál sem az én kódommal. Magyaráztak is aztán vmit (mert csak jófejségből törték fel), hogy az UW nagyon sebezhető így meg úgy, de már nem emlékszem mi volt a lényege, akkor nem érdekelt. UW-t kerüld, ha a biztonság szempont.
5

minden szent... ;)

Hodicska Gergely · 2006. Okt. 3. (K), 07.12
PHP a frontvonalon, védekezés a bemeneten
Munkamenet kezelés biztonsági kérdései
PHP, valamennyire biztonságosabban
Ezek előnye, hogy magyarul vannak, és azért elég széles témakört felölelnek. Ezenkívül érdemes még Chris Shiflett honlapját is nézegetni, meg tudom ajánlani ezt a könyvet is: Pro PHP Security (PDF-ként is megvásárolható).


Felhő
6

UltraWebet ne?

TIV · 2006. Okt. 3. (K), 11.39
Tapasztalatból nem ajánlod őket? miért? és miért a frontembert? köszi
7

Melyik szolgáltató?

TIV · 2006. Okt. 3. (K), 11.43
Kérlek írjátok meg melyik szolgáltató a legbiztonságosabb ami elintézi a domaint és tárhelyet (PHPt, stbt)...köszi
8

Nincs ilyen

tlof · 2006. Okt. 3. (K), 12.29
A mai világban nincsenek abszultumok. Gondolj bele, hogy mindenki aki tárhelyet szolgáltat kvázi kész rendszerek össze rakásávával teszi ezt. (Apache, mysql, php) Ha bármelyikben van egy kritikus hiba, az egyszerre nagyon sok embert érint, ugyan akkor mégsem mindegyiket, hiszen ha te Lighthttpd-re, pythonra, és pgSql -re dolgoztál, akkor csak nevetsz ezeknek a hibáin.

Normál esetben a biztonságosság foglama két dologtól függ.
- Környezet, amiben a te programod fut
- A te programodtól.

Védekezni is ennek megfelelően kell. Első körben mindenki igyekszik elszeparálni a felhasználók programkódjait egymástól. Ez az alap. Ezt meg lehet oldani sokféle képpen. (open_basedir, Jail, fastcgi). Utánna jönnek azok a lépések, hogy egy ember kódja ne tudja az egész szervert túlhajtani. (memória korlát, futási idő korlát). Ha ezekkel megvagyunk, akkor jön a következő része a történetnek. Amibe a környezet véd téged. Pl az illetéktelen behatolási kisérletektől, a szerver esetleges hibáitól, a téged kiszolgáló programok hibáitól, a mások által használt programoktól.

Ezeket eddig minden valamire való szolgáltatónak meg kell csinálnia, és folyamatosan karban is kell tartania, ha egyáltalán a piacon akar maradni. Ja igen, és ezek mellé nem az "itt most egy év akciósan 4000 HUF" árcimke tartozik. Ha a szerver biztonságos, akkor még mindig ott van a te program kódod, hogy mennyire biztonságos, abból a szempontból, hogy nem lehet illetéktelen módon adatokat megváltoztatni benne, nem lehet illetéktelen módon adatokat kiszedni bellőle. Nem lehet rajta keresztül túl terhelni a szervert.

Ezek után azt mondani, hogy melyik a legbiztonságosabb szolgáltató? Valószinüleg az Akamai rendszere. Más kérdés, hogy nem fogod tudni megfizetni őket.
9

köszönöm

TIV · 2006. Okt. 3. (K), 17.41
köszönöm válaszod, most a frontember.hu -val vettem fel a kapcsolatot!