Joomla iskolai honlapra

Veres Sandor veresh at kossuthzs-szeged.sulinet.hu
2011. Dec. 5., H, 08:52:03 CET


2011.12.02. 21:26 keltezéssel, Gyurman Attila írta:
> Van némi nemű szolgáltatói tapasztalatom is a joomlával kapcsolatban.
Szeretném leszögezni, hogy nem szeretném megkérdőjelezni a szakmai 
tapasztalatodat.

> Elég sok feltört joomlát láttam már, és fórumokon is találni szép 
> számmal törési lehetőségeket, de egy kis látogatottságú oldalra nem 
> fognak rászállni.
Már egy korábbi hozzászólás (nem tudom ki írta) is majdnem kicsapta 
nálam a biztosítékot, de most már nem tudom megállni, hogy ne szóljak.
Mivel azt írtad, hogy a töréseket robotok végzik, előbb vagy utóbb a 
robotok bizony rá fognak találni az oldalra, és ha az feltörhető, akkor 
a robot bizony jelzést fog küldeni a készítőjének, hogy a törés sikerült.
Lehet, hogy te csak annyit látsz, hogy egy reklám banner van az oldalon 
(igen, ennek a kihelyezésével tesztelik, hogy törhető-e az oldal), de 
utána már komolyabb "robotokat" engedne rá az oldalra / szerverre. Mert 
a végső cél nem a weblap feltörése, hanem szerver feletti irányítás 
megszerzése.

Az én szemléletem az, hogy előbb vagy utóbb (de inkább előbb) minden 
internetre kötött számítógépet, szervert megpróbálnak feltörni. És egy 
rendszergazda vagy számítógép üzemeltető mindig gyanakvó kell, hogy legyen.

> A legfontosabb védekezés szerintem, hogy amit csak lehet írásvédetté 
> teszel.
A joomla lelki világát nem ismerem, de ha jól gondolom, akkor hasonlóan 
működik mint a drupal, és akkor az oldalak (vagy azok bizonyos részei) 
nem a fájlokban tárolódnak, hanem a háttér adatbázisban. És ekkor a fájl 
írásvédetté tétele nem segít egy sql injection ellen :-(

Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell, 
hogy legyen (szerintem).

Veres Sándor



További információk a(z) Techinfo levelezőlistáról