Hlavní navigace

Vlákno názorů k článku Nebezpečné webhostingy III od Muerte - Přečetl jsem si článek ještě jednou a musím...

Článek je starý, nové názory již nelze přidávat.

  • 3. 9. 2008 8:55

    Muerte (neregistrovaný)
    Přečetl jsem si článek ještě jednou a musím říci, že pro mne je přínosný. :)
  • 3. 9. 2008 12:58

    Aleš (neregistrovaný)
    Mohl byste to prosím rozvést, rád bych měl z článku podobný pocit jako vy.

    V čem konkrétně byl pro vás článek přínosem? Poznáte nyní lepší webhosting od horšího? Poradíte mi jak na to?
  • 3. 9. 2008 13:00

    anonymní
    Pro mě byla ještě přínosnější diskuse.
    Její hlavní podstata spočívá v tom, že autor vypsal některé bezpečnostní problémy provozu PHP a řada správců webhostingů teď huláká, jaká ke to blbost, protože půlku věcí nevěděli a jinou polovinu svých věcí bez hlubšího pochopení naopak naflákali do zabezpečení.
    Z toho se opět potvrzuje jediný závěr. Na žádném webhostingu nemůžete nikdy tušit, co který správce někde bezdůvodně omezil a na co naopak zapomněl. Nejhorší je, že náhodou potřebujete nějakou výjimku, tak to je lepší si asi hodit mašli. Blbce prostě nepřesvědčíte, že když skripty napíšete opatrně (a neunikde vaše heslo), tak se nic nemůže stát.
    Otázkou ale zůstává, zda celé PHP svým pojetím funkcí, které spatlá kdejaký dvacetilý klučina bez zkušeností, jde nějak zabezpečit. Méně dobře odladěných a funkcí by bylo pro celé PHP mnohem daleko lepší a bezpečnější. Jako potvrzení svých slov uvádím leta trvající útoky na /admin-neco/main.php . (Že tohle nikdy žádný odborník v diskusi o bezpečnosti nezmíní?)
  • 3. 9. 2008 15:11

    anonymní
    Zrovna J.Vrána není vhodný příklad. To je člověk, který pluje na vlně plácání o bezpečnosti, které je stejně k ničemu, protože dříve nebo později nějaký (zahraniční) Vrána napíše nebo rozšíří úplně blbě nějakou funkci a najednou bude i její staré použití hacknutelné.
    Jako příklad uvedu rozšíření funkce include a o hodně později její konfigurační omezení.
    A všichni budou zase jen teoreticky kecat o nebezpečnosti místo toho, abysme buď PHP rovnou zahodili anebo si alepoň pro češtinu doplnili ICONV. To ani nějaký Vrána neudělá - natož aby školil, jak věc obejít.
    Konec konců, můžete s tím začít sám. - Ale kdo by to dělal, když ani za 10 let staré Satrapovy konverzní cgi-skripty nikdo nedoplnil na úplnou konverzi všech 128 znaků ASCII-2.
  • 3. 9. 2008 13:36

    anonymní
    nejak z diskuse nemam pocit, ze by se tu vyjadrovali lide co veci nerozumi (ef, J. Vrana, eGo.. pisi IMHO dost k veci)

    ne, to opravdu tusit nemuzete jak je na tom vas hosting, pokud nemate adm prava na danem stroji, co tam kde je zapnuto/vypnuto/povoleno/zakazano/opomenuto - je to o tom, ze mate duveru v danou firmu, ze za penize co od vas dostava dela to co ma a dela to poradne. A pokud vam na tom opravdu zalezi, tak si jiste rad veci zjistite a za lepsi bezpecnost priplatite (bezpecnost se totiz sama neudela a musite zaplatit cloveka, ktery to umi a kteremu se da verit a tim padem se to taky musi projevit na vysledne cene)

    z 3 dilneho clanku jsme se akorat dozvedeli to, ze jsou nektere hostingy mene bezpecne nez jine, to mi pripada trochu malo

    pointa clanku mela byt, podle ceho se da v takove situaci orinetovat, zda za sve penize dostava clovek odpovidajici hodnotu - a tady to autor tezce nezvladl (tohle neni pouze o popisu nekterych direktiv a fci php, ktere si muzete vzdy najit v manualu popsane lepe i s varovanim,co ktere nastaveni prinasi pro bezpecnost). Naopak pritom ukazal nektere elementarni neznalosti v oboru (napr. verze jadra, fce getimagesize(), fce posix_passwd() etc.) a na kritiku reagoval, tak jak reagoval... cili si kazdy muze udela obrazek sam.

    PHP se da zabezpecit pomerne rozumne, ale neudela se to samo a nestaci k tomu samotne php. Materialu o tom je na netu dost a dost - staci se nebat ucit a premyslet.