Хорошая безопасность - Легко! (c) ALIGARX

[lastdays]

Писать любой контент без защиты для "наших" пользователей, это нонсенс господа.
Один ответ - фу.

 

[ALIGARX]

Ну и зря, это должно самым первым, что тебя должно волновать, ибо юзеры это самое главное, ради них считай ты делаешь всю эту защиту, а исходники потерять это так фигня (зазенди их с обфускацией и все, проблема решена), информация дороже.

ну нескажи, а моральный дух? Вот у меня были первые проекты, да они дырявые, да они древние были, но после взлома у меня не возникло желание работать над ними дальше.

 

[X-ray]

Взлом возможен когда есть твой пароль или доступ в админку, или если можно залить файл через скуль, но если пароль не реально сбрутить или в админке нет возможности загрузки файлов, а на мускуле права отключены.
Вопросы на само понимание при данном раскладе:
1) Какова вероятность слить двиг, даже если там тонна скулей, а база одна ?
2) На сколько удачным является ход, в поиске уязвимостей по логам используемых хакерами ?
3) На сколько ощутимый вред проекту нанесут хакеры на стадии бета-теста игры ?
4) Как это все можно использовать для развития проекта и улучшения защиты ?

 

[FreeWolf]

Ну и зря, это должно самым первым, что тебя должно волновать, ибо юзеры это самое главное, ради них считай ты делаешь всю эту защиту, а исходники потерять это так фигня (зазенди их с обфускацией и все, проблема решена), информация дороже.

расшифровывают же? или я что то пропустил?

 

[killermaker]

А что вобще мешает использовать rewrite?

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F]

И это лишь пример, правила можно дополнять.

 

[razvedchik]

А что вобще мешает использовать rewrite?

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F]

И это лишь пример, правила можно дополнять.

Сам догнал или CMS Jomla ? )))

 

[ALIGARX]

А что вобще мешает использовать rewrite?

RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F]

И это лишь пример, правила можно дополнять.

Ну если ты такой профи, так распиши для чайников, как тобою написанное использовать в жизни? На примере, а не плюнуть какой-то бред и якобы на этом все

 

[RickMan]

Взлом возможен когда есть твой пароль или доступ в админку, или если можно залить файл через скуль, но если пароль не реально сбрутить или в админке нет возможности загрузки файлов, а на мускуле права отключены.
Вопросы на само понимание при данном раскладе:
1) Какова вероятность слить двиг, даже если там тонна скулей, а база одна ?
2) На сколько удачным является ход, в поиске уязвимостей по логам используемых хакерами ?
3) На сколько ощутимый вред проекту нанесут хакеры на стадии бета-теста игры ?
4) Как это все можно использовать для развития проекта и улучшения защиты ?

про права про отключение прав на мускуле можно? я все нашел что писалось выше но про это нет...

 

[razvedchik]

про права про отключение прав на мускуле можно? я все нашел что писалось выше но про это нет...

Создаешь нового юзера.И даешь ему права-update,insert,select,delete
создать можно командой в сшш или в phpmyadmin или вручную в базе `mysql`-->`user`

 

[ALIGARX]

Создаешь нового юзера.И даешь ему права-update,insert,select,delete
создать можно командой в сшш или в phpmyadmin или вручную в базе `mysql`-->`user`

Ну так root все равно останется с списке юзеров

 

[X-ray]

Ну так root все равно останется с списке юзеров

ну его можно всегда удалить, только файлик с таблицой из бд где он есть забэкапить, чтобы можно было восстановить.

 

[ALIGARX]

ну его можно всегда удалить, только файлик с таблицой из бд где он есть забэкапить, чтобы можно было восстановить.

мне к примеру на просьбу саппора "Отключить права на запись файлов в БД", ответили:
- в этом случае перестанет работать PhpMA вообще

 

[razvedchik]

мне к примеру на просьбу саппора "Отключить права на запись файлов в БД", ответили:
- в этом случае перестанет работать PhpMA вообще

Оо вот олени.Рут останется.Как ты без рута буш работать с мускулом?Пароль понадёжней и всё+защиту от брута

 

[Insallah]

Как ты без рута буш работать с мускулом?

Вы что, озверелли ходить в мускул из под рута?!

Рута в удалёнке вообще отключать нужно.

 

[razvedchik]

Вы что, озверелли ходить в мускул из под рута?!

Рута в удалёнке вообще отключать нужно.

почитай выше...посоветовали удалить)
После установки мускула,думаю все выполняют базовую установку) и там спрашивают,делать ли рута локально)

 

[ALIGARX]

так я чет не пойму, по стандарту рутник активен или нет? Если допустим есть доступ к бд на второстепенного пользователя, до рута можно добраться?

 

[razvedchik]

если выставлены ТОЛЬКО те права что я указал,то нет и не забываем в сшш выполнять mysql_secure_installation

 

[Insallah]

почитай выше...посоветовали удалить)

ой, Разведка, извини, меня бес попутал. )))

 

[wersawer]

ой, Разведка, извини, меня бес попутал. )))

Нечего не изменилось! все флудишь!)
Отдали бы толковому этот форум то повыгонял бы таких с модеров ! перво флудерастов!

 

[BAC9l]

Одно не пойму, в чём проблема с рутом в майадмине? Раз уж речь идёт об онлайн-играх, то и сервер должен быть веделенный. Стало быть проблема с тем, что рут получает доступ к базам других сайтов отпадает. Если проблема в том, что брутер будет знать, какой логин надо брутить, так сделать пароль подлиннее, чтобы брутить его лет этак на 1000 заняло, о том, чтобы сделайть майадмин по ардесу nikomusjudanesmotretj.sait.ru и время от времени его менять - я вообще молчу. Разве что если сделать в майадмине только просмотр а не запись, но тогда опять же какой толк от такого майадмина. Тогда уж лучше по ИП добавить ограничение и весь сказ.