Jak nejlépe zabezpečit svoje stránky před malware?

Janina
Nikam si neukladat heslo, zejmena ne do TotalCommanderu. Posledni dobou se namnozily utoky prave pres TC.

„Ať už mám celý web jen .html stránky“
Tam neni co zabezpecovat

„.php, kde pouze includuju kód.“
Pokud jmeno includovane stranky ziskavas z $_GET, $_POST nebo $_COOKIE promene tak kontroluj jestli je hodnota v poradku. Include se da udelat i ze vzdaleneho serveru!

Janina
Tohle je v pohode:


Tohle uz ne:

„Nikam si neukladat heslo, zejmena ne do TotalCommanderu.“
Nebo si nainstalovat nový TC 7.5 beta a používat šifrování hesel hlavním heslem, které tam nově je. Pak se k heslům virus nedostane.

Janina
HTML injection hrozi tam kde se vstupni data od uzivatele vypisuji do stranky, treba v navstevni knize, foru apod. Utocnik muze do stranky vlozit treba nebezpecny JavaScript (vyuzivajici bezpecnostni diru v nekterem prohlizeci) nebo nabourat vzhled stranky. v PHP proti lze branit jednoduchym osetrenim vypisovanych dat pomoci funkce htmlspecialchars()

Reaguji na implodera:
„Nebo si nainstalovat nový TC 7.5 beta a používat šifrování hesel hlavním heslem, které tam nově je. Pak se k heslům virus nedostane.“
Není to trochu hodně naivní? Kdybys byl autor viru, zastavilo by tě to? Jakékoliv přihlašování ze zavirovaného stroje je nebezpečné, šifrování ukládaných hesel na tom nic nezmění.

Chamurappi
Ano, v tomto případě zastavilo. Virus vůbec nepotřeboval odchytávat, jak uživatel píše v TC heslo, prostě si hesla přečetl z disku a nahrál se. TC k tomu ani nemusel být spuštěný.
Možná někdo vymyslí novou verzi viru s keyloggerem, ale to by bylo složitější a takový virus by se pak mohl nabourat prakticky kamkoliv, ne jenom na FTP a vůbec by nemuselo záležet, jakého FTP klienta na počítači používám. Neříkám, že takové nebezpečí není, bohužel určitě je, ale narozdíl od toho problému s vykradenými nešifrovanými hesly v TC se to v praxi hromadně zatím neděje. Vyrobit takový virus by bylo složitější, musel by poznat, kdy uživatel v TC (případně jiném klientovi) píše heslo a k jakému spojení. To nevím, jak udělat.

Reaguji na implodera:
„Vyrobit takový virus by bylo složitější, musel by poznat, kdy uživatel v TC (případně jiném klientovi) píše heslo a k jakému spojení. To nevím, jak udělat.“
Zjistit aktivní okno, podívat se na titulek, poznat přidružený proces — to je docela triviální. Pokud někdo dokáže zneužívat neošetřené bezpečnostní díry systému, zřejmě si dokáže nastudovat i těch pár WinAPI funkcí.
Asi také půjde napíchnout se na knihovny obhospodařující komunikaci po síti a sledovat veškerou komunikaci přes protokol FTP.

„Možná někdo vymyslí novou verzi viru“
Buď to, a nebo si tvůrci virů řeknou, že přestanou trápit svět a že už budou hodní :-)

Bude stačit stránky znovu nahrát na FTP.