Autor Zpráva
Janina
Profil
Ahoj.
Ať už mám celý web jen .html stránky či .php, kde pouze includuju kód.

Zajímalo by mě, jak co nejlépe zabezpečit svůj web před malwarem či jiným napadení? Můžu pro to vůbec něco udělat?
bohyn
Profil
Janina
Nikam si neukladat heslo, zejmena ne do TotalCommanderu. Posledni dobou se namnozily utoky prave pres TC.

Ať už mám celý web jen .html stránky
Tam neni co zabezpecovat

.php, kde pouze includuju kód.
Pokud jmeno includovane stranky ziskavas z $_GET, $_POST nebo $_COOKIE promene tak kontroluj jestli je hodnota v poradku. Include se da udelat i ze vzdaleneho serveru!
Janina
Profil
Pokud jmeno includovane stranky ziskavas z $_GET, $_POST nebo $_COOKIE promene tak kontroluj jestli je hodnota v poradku. Include se da udelat i ze vzdaleneho serveru!


includuji to tak, že do html kodu dám <?php include /stranka.php ?> takže snad ok.

Moc díky za odpovědi. Přivítám další postřehy..
bohyn
Profil
Janina
Tohle je v pohode:
<?php include "stranka.php" ?>


Tohle uz ne:
<?php include $_GET['stranka']; ?>
imploder
Profil
Nikam si neukladat heslo, zejmena ne do TotalCommanderu.
Nebo si nainstalovat nový TC 7.5 beta a používat šifrování hesel hlavním heslem, které tam nově je. Pak se k heslům virus nedostane.
Janina
Profil
„Ať už mám celý web jen .html stránky“
Tam neni co zabezpecovat


A co znamená HTML injection?
bohyn
Profil
Janina
HTML injection hrozi tam kde se vstupni data od uzivatele vypisuji do stranky, treba v navstevni knize, foru apod. Utocnik muze do stranky vlozit treba nebezpecny JavaScript (vyuzivajici bezpecnostni diru v nekterem prohlizeci) nebo nabourat vzhled stranky. v PHP proti lze branit jednoduchym osetrenim vypisovanych dat pomoci funkce htmlspecialchars()
Chamurappi
Profil
Reaguji na implodera:
Nebo si nainstalovat nový TC 7.5 beta a používat šifrování hesel hlavním heslem, které tam nově je. Pak se k heslům virus nedostane.
Není to trochu hodně naivní? Kdybys byl autor viru, zastavilo by tě to? Jakékoliv přihlašování ze zavirovaného stroje je nebezpečné, šifrování ukládaných hesel na tom nic nezmění.
imploder
Profil
Chamurappi
Ano, v tomto případě zastavilo. Virus vůbec nepotřeboval odchytávat, jak uživatel píše v TC heslo, prostě si hesla přečetl z disku a nahrál se. TC k tomu ani nemusel být spuštěný.
Možná někdo vymyslí novou verzi viru s keyloggerem, ale to by bylo složitější a takový virus by se pak mohl nabourat prakticky kamkoliv, ne jenom na FTP a vůbec by nemuselo záležet, jakého FTP klienta na počítači používám. Neříkám, že takové nebezpečí není, bohužel určitě je, ale narozdíl od toho problému s vykradenými nešifrovanými hesly v TC se to v praxi hromadně zatím neděje. Vyrobit takový virus by bylo složitější, musel by poznat, kdy uživatel v TC (případně jiném klientovi) píše heslo a k jakému spojení. To nevím, jak udělat.
Chamurappi
Profil
Reaguji na implodera:
Vyrobit takový virus by bylo složitější, musel by poznat, kdy uživatel v TC (případně jiném klientovi) píše heslo a k jakému spojení. To nevím, jak udělat.
Zjistit aktivní okno, podívat se na titulek, poznat přidružený proces — to je docela triviální. Pokud někdo dokáže zneužívat neošetřené bezpečnostní díry systému, zřejmě si dokáže nastudovat i těch pár WinAPI funkcí.
Asi také půjde napíchnout se na knihovny obhospodařující komunikaci po síti a sledovat veškerou komunikaci přes protokol FTP.

Možná někdo vymyslí novou verzi viru
Buď to, a nebo si tvůrci virů řeknou, že přestanou trápit svět a že už budou hodní :-)
Janina
Profil
Děkuji všem za reakce :)

A když už se náhodou stane, že mi Chrome hlásí, že na webu mám malware, co s tím mohu udělat? Postačí stránky překopírovat? Nebo něco jiného s tím mám dělat?
DJ Miky
Profil
Bude stačit stránky znovu nahrát na FTP.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: