Joomla iskolai honlapra

[Gyurman Attila]

Üdv!

2011-12-05 08:52 keltezéssel, Veres Sandor írta:
> Már egy korábbi hozzászólás (nem tudom ki írta) is majdnem kicsapta 
> nálam a biztosítékot, de most már nem tudom megállni, hogy ne szóljak.
> Mivel azt írtad, hogy a töréseket robotok végzik, előbb vagy utóbb a 
> robotok bizony rá fognak találni az oldalra, és ha az feltörhető, 
> akkor a robot bizony jelzést fog küldeni a készítőjének, hogy a törés 
> sikerült.
Ez tény, ezzel én is egyetértek, viszont szerintem az is tény, hogy egy 
nevenincstelepülésiskolája.hu domain nevet kicsit később találnak meg 
(ha egyáltalán megtalálják), mint az index.hu-t. Ezért mondtam, hogy nem 
mindegy, mennyi népszerű az oldal.
> Lehet, hogy te csak annyit látsz, hogy egy reklám banner van az 
> oldalon (igen, ennek a kihelyezésével tesztelik, hogy törhető-e az 
> oldal), de utána már komolyabb "robotokat" engedne rá az oldalra / 
> szerverre. Mert a végső cél nem a weblap feltörése, hanem szerver 
> feletti irányítás megszerzése.
>
Szerencsére ez az, amit még (kopp-kopp-kopp) nem láttam, legalábbis 
saját szerveren csak php-kkel találkoztam, rootkitekkel még nem.
Ettől függetlenül szerintem is ez a legnagyobb veszély. Ha fel tud 
tölteni egy php-t, onnantól kezdve már shell-je is van, még ha nem is 
root...
> Az én szemléletem az, hogy előbb vagy utóbb (de inkább előbb) minden 
> internetre kötött számítógépet, szervert megpróbálnak feltörni. És egy 
> rendszergazda vagy számítógép üzemeltető mindig gyanakvó kell, hogy 
> legyen.
>
Ebben is egyetértünk. Ha valakinek van 22-es porton publikus ssh-ja 
(gondolom sokaknak van), és belenéz időnként a logokba is, akkor elég 
szép számú kíserletet láthat belépésekre (fail2ban rulez...). Ugyan így 
próbálkoznak a weboldalakkal is.
>> A legfontosabb védekezés szerintem, hogy amit csak lehet írásvédetté 
>> teszel.
> A joomla lelki világát nem ismerem, de ha jól gondolom, akkor 
> hasonlóan működik mint a drupal, és akkor az oldalak (vagy azok 
> bizonyos részei) nem a fájlokban tárolódnak, hanem a háttér 
> adatbázisban. És ekkor a fájl írásvédetté tétele nem segít egy sql 
> injection ellen :-(
>
Jól gondolod. SQL injection ellen csak a jó kód tud védeni. Ez az, ami 
joomla esetében megkérdőjelezhető, mármint a hibátlan kód.
> Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell, 
> hogy legyen (szerintem).
Itt viszont sajnos általában kompromisszumokat kell kötni. Mint ahogy 
egy iskola tűzfala sem mérhető össze egy nagyválallalti tűzfallal, ugyan 
úgy szerintem egy iskolai honlap biztonsági kérdése sem azonos egy 
netbank biztonságos üzemeltetésével.

Ettől függetlenül törekedni kell a lehető legbiztonságosabb működésre, 
de ezen a szinten szerintem sokkal fontosabb, hogy legyen biztonsági 
mentés, amit egy esetleges feltörés után percek alatt vissza lehet állítani.

Az eredeti kérdés az volt, hogy javasoljuk-e a joomlát iskolai honlapnak.
     - Biztonsági szempontból nem
     - Azonban felhasználói szemszögből (egyszerű telepítés, kezelés, 
sok kész template, új tartalmak feltöltése) sokkal jobb, mint ha 
atombiztos HTML-ben lenne az egész, dinamikus kód és sql nélkül (azt 
nehéz lenne feltörni :-) )

Szerintem e között a kettő között kell megtalálni az arany középutat, 
ami lehet akár egy drupal is.

Attesz