Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

Er din hjemmeside / Online butik sikret ? ***SPAR 50 % som Amino medlem*****

Side 4 ud af 4 (34 indlæg)
Fra København
Tilmeldt 1. Jun 06
Indlæg ialt: 6114
Fra  Mikjaer Consulting ApS Skrevet kl. 20:04
Hvor mange stjerner giver du? :

Frands:
Hvis samtlige systemkaldsfunktioner er slået fra og der er open_basedir() så bevæger man sig i den rigtige retning.

Det eneste rigtige er at udnytte den sikkerhed som ligger i operativsystemet, og som har lagt der siden midten af halvfjerdserne. Nemlig at hvert webhotel skal køre med sin egen unikke UNIX Brugere, filer og mapper ejes af denne bruger og scripts eksekveres som denne bruger ... for at beskytte mod klaphatte der sætter for åbne rettigheder på egne filer kan man så passende implementere basedir, og kun åbne for systemkalds funktioner for de kunder der kan finde ud af at styre det.
Fra Viby J
Tilmeldt 24. Feb 07
Indlæg ialt: 604
Fra  HelpSoft ApS Skrevet kl. 20:14
Hvor mange stjerner giver du? :

Mikkel Mikjær Christensen:

Frands:
Hvis samtlige systemkaldsfunktioner er slået fra og der er open_basedir() så bevæger man sig i den rigtige retning.

Det eneste rigtige er at udnytte den sikkerhed som ligger i operativsystemet, og som har lagt der siden midten af halvfjerdserne. Nemlig at hvert webhotel skal køre med sin egen unikke UNIX Brugere, filer og mapper ejes af denne bruger og scripts eksekveres som denne bruger ... for at beskytte mod klaphatte der sætter for åbne rettigheder på egne filer kan man så passende implementere basedir, og kun åbne for systemkalds funktioner for de kunder der kan finde ud af at styre det.

Jeg er kun delvist enig. 

Man introducerer en anden problemstilling når man bruger suphp, fcgi el.lign. hvor scripts eksekveres som ejeren - nemlig at webserveren derved får skriverettigheder til alle filer. Man kan godt administrativt fratage denne bruger sine skriverettigheder, men på *NIX vil ejeren af en fil altid kunne give sig selv skriverettigheder igen ved brug af chmod.* 

Der er ikke en hel gylden løsning som tager højde for det hele, men at lade filer være ejet af brugeren selv og i gruppe med webserveren som kun har skriverettigheder i de biblioteker hvor det er påkrævet giver rigtig god mening, hvis man vil (så godt som muligt) afværge både angreb igennem webserveren men også angreb (bevidste eller ubevidste) mod andre kunder forsøgt af føromtalte klaphatte. 

* Eksempel: 

fbh@testbox $ echo "heste" > testfile
fbh@testbox $ cat testfile
heste
fbh@testbox $ sudo chmod 000 testfile
fbh@testbox $ cat testfile
cat: testfile: Permission denied
fbh@testbox $ chmod 700 testfile
fbh@testbox $ cat testfile
heste

/Frands - HelpSoft ApS

Mangler du et SSL Certifikat? Vi sælger billige SSL certifikater 

Fra København
Tilmeldt 1. Jun 06
Indlæg ialt: 6114
Fra  Mikjaer Consulting ApS Skrevet kl. 03:51
Hvor mange stjerner giver du? :

Tak for eksemplet, så prøver vi lige det samme hvor vi, som jeg foreslog, også lige skifter ejer på filen: 

mikjaer@127-0-0-1:~/test$ echo "foobar" > testfile
mikjaer@127-0-0-1:~/test$ cat testfile 
foobar
mikjaer@127-0-0-1:~/test$ sudo chmod 000 testfile 
mikjaer@127-0-0-1:~/test$ sudo chown root:root testfile 
mikjaer@127-0-0-1:~/test$ cat testfile 
cat: testfile: Permission denied
mikjaer@127-0-0-1:~/test$ chmod 700 testfile 
chmod: changing permissions of `testfile': Operation not permitted
mikjaer@127-0-0-1:~/test$ cat testfile 
cat: testfile: Permission denied

;-)
Fra Esbjerg
Tilmeldt 23. Sep 05
Indlæg ialt: 4105
Skrevet kl. 11:40
Hvor mange stjerner giver du? :

Hej Alle

Jeg lavede en aftale med Anders, som lød således:

Anders laver et gratis sikkerhedstjek af www.sikkerhedseksperten.dk, mod at Kenneth fortæller ærligt om hans oplevelser.

Og det vil jeg så gøre!

Testen

Anders kontaktede mig i onsdags og gav mig valget i mellem test torsdag eller fredag. Test perioden ville vare omkring 5 timer og der ville være en mindre risiko for at min side ville blive langsommere i den tidsrum.

Jeg valgte torsdag og blev om eftermiddagen ringet op af en fra Anders´s hold. Han fortalte at de havde fundet et problem, som de gerne ville teste yderligere, med risiko for at ligge siden ned 5-10 min.

De valgte selv at gøre det torsdag aften, selvom de havde fået ok fra mig, til at gøre det i dagtimerne.

Fredag blev jeg ringet op af selv samme person, der forklarede mig de forskellige ting, på en let og forståelig måde, så selv jeg kunne forstå det :)

Resultatet (mail fra Anders)

Du får også på skrift hvad vi fandt på din hjemmeside: Domæne der er scannet: www.sikkerhedseksperten.dk

Generel beskrivelse:

Hjemmeside programmeringen er programmeret efter php standard, og der er ikke efterladt ”rester” som gør en hacker i stand til at opsnappe informationer om database forbindelser mv.

Der er dog en del døde links på hjemmesiden, som bør fjernes hvis man ønsker en god indeksering hos Google.

Ting der bør rettes:

På hjemmesiden findes der en mappe ved navn ”Application” denne kan der opnås direkte adgang til ved at skrive følgende i sin browser: http://www.sikkerhedseksperten.dk/application herfra kan man downloade filer, som indeholder alt fra konfiguration, til billeder af produkter. Der er dog lavet en sikkerhedsforanstaltning som gør at følsomme filer med brugernavne og adgangskoder ikke kan hentes med et klik, dog vil det tage en ondsindet hacker få minutter / timer og tilegne sig disse filer. Råd: Kontakt programmøren af hjemmesiden, og få identificeret sårbare mapper som indeholder konfigurations filer, få disse dokumenteret, og kontakt web udbyderen, og få denne til at sætte ”Directory Listing Not allowed” på disse.

Konklusion

Jeg havde frygtet at jeg ville blive bombarderet med fejl og filer hvor koder med mere ville være synlige. Jeg havde frygtet at Anders´s hold på ingen tid kunne finde informationer omkring mine kunder, deres handler og meget andet. Sådan blev det heldigvis ikke :=)

Min webshop er bygget på et costum made CMS, så jeg har mere eller mindre været med fra bunden af denne opbygning. Jeg har hyret en virksomhed i Inden til at lave udviklingen og jeg har, ærlig talt, været mere obs på SEO end sikkerhed. Tilgengæld har jeg hyret Indere, der koster 25 USD i timen og jeg ved de kan deres kram. Derfor er jeg også super glad for at koden er pæn og det generelle sikkerhedsniveau er højt for min side.

Jeg kontaktede efterfølgende min programmør, der lukkede siderne med mappelister ned på 10 sekunder. Han beklagede selvfølgelig :)

Anbefaling

Nu har jeg fået et gratis produkt, mod at sige min ærlige mening. Så tag min anbefaling som du vil!

Min oplevelse med inetsecurity.dk har været rigtig godt. Jeg har talt og kommunikeret med professionelle mennesker, jeg føler, ved hvad de taler om. Også har jeg fået det skåret tilstrækkeligt ud i pap, så selv jeg forstår det :)

Produktet havde jeg investeret i uanset hvad, på et tidspunkt, for jeg mener at sikkerheden er vigtigt, men må også erkende at som nystarter er det ikke det der er højst på listen.
Men jeg havde brugt pengene på det, for jeg ligger inde med mange timers arbejde, kunde relationer, kunde oplysninger og meget andet, som for min virksomhed kunne have store konsekvenser at miste.

Jeg føler mig i hvert fald rigtig godt behandlet af Anders og hans team, og sender de varmeste anbefalinger deres vej!.

Side 4 ud af 4 (34 indlæg)
Bliv gratis medlem pa Amino