Joomla iskolai honlapra
Veres Sandor
veresh at kossuthzs-szeged.sulinet.hu
2011. Dec. 5., H, 08:52:03 CET
2011.12.02. 21:26 keltezéssel, Gyurman Attila írta:
> Van némi nemű szolgáltatói tapasztalatom is a joomlával kapcsolatban.
Szeretném leszögezni, hogy nem szeretném megkérdőjelezni a szakmai
tapasztalatodat.
> Elég sok feltört joomlát láttam már, és fórumokon is találni szép
> számmal törési lehetőségeket, de egy kis látogatottságú oldalra nem
> fognak rászállni.
Már egy korábbi hozzászólás (nem tudom ki írta) is majdnem kicsapta
nálam a biztosítékot, de most már nem tudom megállni, hogy ne szóljak.
Mivel azt írtad, hogy a töréseket robotok végzik, előbb vagy utóbb a
robotok bizony rá fognak találni az oldalra, és ha az feltörhető, akkor
a robot bizony jelzést fog küldeni a készítőjének, hogy a törés sikerült.
Lehet, hogy te csak annyit látsz, hogy egy reklám banner van az oldalon
(igen, ennek a kihelyezésével tesztelik, hogy törhető-e az oldal), de
utána már komolyabb "robotokat" engedne rá az oldalra / szerverre. Mert
a végső cél nem a weblap feltörése, hanem szerver feletti irányítás
megszerzése.
Az én szemléletem az, hogy előbb vagy utóbb (de inkább előbb) minden
internetre kötött számítógépet, szervert megpróbálnak feltörni. És egy
rendszergazda vagy számítógép üzemeltető mindig gyanakvó kell, hogy legyen.
> A legfontosabb védekezés szerintem, hogy amit csak lehet írásvédetté
> teszel.
A joomla lelki világát nem ismerem, de ha jól gondolom, akkor hasonlóan
működik mint a drupal, és akkor az oldalak (vagy azok bizonyos részei)
nem a fájlokban tárolódnak, hanem a háttér adatbázisban. És ekkor a fájl
írásvédetté tétele nem segít egy sql injection ellen :-(
Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell,
hogy legyen (szerintem).
Veres Sándor
További információk a(z) Techinfo levelezőlistáról