Proszę o pomoc przy mojej stronie.

[dbname]

Witam!

Od jakiegoś czasu staram się stworzyć stronę o inkach (www.inkowie.com). Niestety nie mam bladego pojęcia jak ją zabezpieczyć. Do dodawania nowych artykułów użyłem gotowego skryptu PsNews.
Bardzo zależy mi na bezpieczeństwie danych, które będą się tam znajdowały więc proszę Was o pomoc przy jej tworzeniu. Zezwalam na wszelkie testy z wyjątkiem kasowania tego co już się tam znajduje

serwer: boo.pl
skrypt: PsNews
forum: vanilla

ps. Inkowie.com powstaje w celu szerzenia sprawdzonych i rzetelnych informacji dostępnych bezpłatnie i bez uciążliwych form reklamy.

pozdrawiam i czekam na pomoc
--
dbname
Inkowie.com
Darek N.

[ShutDown]

Opierając stronę o gotowe CMSy i nie znając języka w jakim są tworzone nie będziesz potrafił ich zabezpieczyć. Możesz jedynie aktualizować wersję skryptu, aby wyeliminować błędy, które już zostały wykryte i poprawione przez autora. Takie skrypty powinny być wstępnie zabezpieczone przed atakami, więc nie masz się co martwić Jak już mówiłem aktualizuj wersję no i dbaj o hasła oraz uważaj, żeby Cię ktoś od całkiem innej strony nie zaszedł np. Socjotechnika, Trojaniki, Key-loggery itp.

P.S Byłbym zapomniał, no i rób częste backupy to skutecznie uniemożliwi utratę danych

[dbname]

No właśnie jest problem bo to nie jest gotowy CMS tylko skrypt, który miał za zadanie jedynie dodawać newsy na strone. Ja go przerobiłem w taki sposób, że dodaje on artykuły. Głównym problemem jest to że nie wiem czy można zaufać temu kawałkowi kodu

pod adresem http://n00b.ovh.org/psnews11.zip można pobrać ten skrypt

ps. backupy jak najbardziej

[Mad_Dud]

plik: news/admin.php

Kod php:

<?php
$body = stripslashes($body);
$body = preg_replace("'\n|\r\n|\r'si", "<br>", $body);
$body = str_replace("|", "\\|", $body);

$title = stripslashes($title);
$title = preg_replace("'\n|\r\n|\r'si", "", $title);
$title = str_replace("|", "\\|", $title);
?>

To nie wystarczy.
CRLF chyba jest załatane, ale brakuje magic quotes i innych takich.

bo to nie jest gotowy CMS tylko skrypt

ShutDownowi nie chciało się wymieniać wszystkich typów software. Idea jest taka, że jeśli korzystasz z publicznie udostępnionego kodu, który nie jest regularnie rozwijany - jesteś zagrożony.

[dbname]

Czyli jednym słowem zmienić na jakiegoś bezpiecznego CMS'a i aktualizować + backupy, tak?
Pytanie tylko, który wybrać

[ShutDown]

Dobre pytanie, który CMS jest najbardziej bezpieczny? Ten mniej znany z jednej strony jest bezpieczniejszy, bo mało kto w nim szuka dziur itp. ale jednak jest spora szansa, że dziury zawiera. Czy ten popularny, który jest często aktualizowany i łatany ale jednak jego kod ma większość ludzi na dysku?... Wydaje misiem, że najlepszą opcją będzie jakiś płatny CMS no ale jednak tu trzeba płacić.

Mam jeszcze inną propozycję, napisz sobie sam
Nie wiem jak bardzo jesteś obeznany w php,html,css ale widzę po stronie że wystarczy Ci pobieranie rekordów z bazy MySQL i dodawanie to będą newsy. Reszta to pod strony, które możesz po prostu includować (dołączać do strony ) za pomocą php. To będzie chyba najbezpieczniejsze rozwiązanie W razie czego mogę Ci pomóc, tylko nie licz na gotowce

[TQM]

Nie wiem czy bedzie najbezpieczniejsze bo wymaga sporej wiedzy i doswiadczenia... i nie daje ZADNYCH gwarancji :-)

Skoro Ci ktorzy pisza CMSy za ktore placisz i wiedza co robia bo z tego zyja... i oni robia bledy ktore koncza sie exploitami i podmienionymi stroami, to ja sie zastanawiam jaka jest szansa ze sam napiszesz cos lepszego?

Najlepszy CMS jaki widzialem to taki, ktory generuje content off-line np na Twoim kompie w domu, wklada calosc w szablony itd. i generuje pliki HTML, zapisuje na dysku... a Ty pozniej wrzucasz to na serwer jako statyczne pliki, zadnego PHP czy innych jezykow. To jest rozwiazanie i w tym szalenstwie na prawde jest metoda!
Jak chcesz dodac np ksiege gosci to wtedy masz 1 element ktory musisz zabezpieczac a nie caly CMS... Po prostu mniej miejsc gdzie cos moze sie przytrafic.

[ShutDown]

Zapomniałem wytłumaczyć dlaczego bezpieczniejszym rozwiązaniem jest pisanie własnego skryptu, już z tym śpieszę. Cały CMS jest wielki, ma sporo różnych rzeczy, które nie będą wykorzystywane, jakieś rozbudowane statystki, panel admina itd. A stronka z tego co zauważyłem potrzebuje, tylko systemu newsów i to nie koniecznie rozbudowanego. Reszta to tylko html i wystarczy dołączać pod strony. Dlatego warto napisać prościutki skrypcik, który doda news i wyświetli więc on będzie bezpieczny. Jeżeli coś jest proste, to dużo prościej jest to zabezpieczyć. Głównie trzeba zabezpieczyć dodawanie newsa, wyświetlanie jest nie groźne chyba że user będzie mógł decydować jakie newsy będą mu pokazane (np. opcja szukaj). Jest jeszcze drugi plus, nikt nie będzie widział kodu co też poprawia bezpieczeństwo, bo trudniej jest zidentyfikować dziury.

Można też zrezygnować z php i ręcznie doklejać newsy. Zwykły html jest bowiem najbezpieczniejszym rozwiązaniem

TQM, ten CMS generujący stronę off-line brzmi ciekawie, ale czy nie lepiej samemu wprowadzić modyfikację w htmlu? To taki front page ;p

[TQM]

Nie lepiej... bo jesli masz cos co generuje Ci statyczny HTML to moze generowac RSSy, moze generowac mase innych rzeczy i dostajesz statyczny HTML i inne pliki ktore wrzucasz na serwer i po sprawie.

Jesli tylko jest jakis kod po stronie serwera to mozna go nieco "pomeczyc", poza tym serwowanie statycznych plikow jest najmniej kosztowne i najwydajniejsze. Porownaj blog np w WP zrobiony z blogiem ktory generuje statyczny HTML...

WP dla kazdego wejscia wykonuje ponad 30 zapytan do bazy z tego co pamietam tylko po to aby strone glowna wyswietlic. Sesje nie sa permanentne najczesciej tylko nowe polaczenie do bazy leci co klikniecie... a teraz ja daje Ci statyczny HTML - koszt calej operacji to czas odczytu z dysku w wrzucenia w socket co systemy robia bardzo ladnie. Mow co chcesz, ale statycznego HTMLa nie pobije nic ani pod wzgledem predkosci ani pod wzgledem bezpieczenstwa :-)

BTW. Majac statyczny HTML mozesz zrobic ksiazke gosci bardzo latwo w np PHP i wtedy jest to jedyny element ktory mozna atakowac a nie calosc. Im system wiekszy i bardziej skomplikowany tym wieksza szansa ze cos padnie albo ktos w tym pomoze.

[eMCe]

Hymm... mnie generowanie HTML wcale nie przekonuje...
Nie widzialem tego CMS'a - TQM to ten co wspominałeś jakieś 2 years ago ?
Daj nazwę jeśli możesz...

Dlaczego mnie nie przekonuje?
1) Nie widzę wygody takiego rozwiązania...
2) Jak ze zgodnością? Będzie działać w każdej przegladarce na każdym systemie ? Jak z SEO ? Jak z wydajnością ? Wogole jak to działa ? Podstawia pod szablony ? Czyżby to nie to samo co dobrze napisany kod w PHP z (lub bez) jakiegoś systemu szablonów/Frameworka? Ile czasu zaoszczędzę (wartość w microsekundach?)

Gdzie miejsce na nowe technologie?
Z takim podejściem cofniemy sie do SGML'a - nie lepiej wykorzystywać nowe technologie a jeśli pojawiają się problemy z pezpieczeństwem to je niwelować ?