Autor Zpráva
Prefin
Profil
Ahojda všichni.
Mám takový dotaz k jednomu mechanismu, který by možná mohl být prospěšný.
Dokončuji webový projekt, který je komerčního charakteru a z určitých dúvodů se dá předpokládat, že by se mohl stát terčem budoucích útoků (vykradení databáze, přepsání či smazání souborů apod...).
Vím, že je možné přepsat soubory (či smazat) ať udělám ochranu jakou chci, tak bych chtěl mít kontrolu nad souborovým systémem, velikostí scriptů apod.
Tuto kontrolu provádět cronem v nějakém časovém intervalu a detekovat nepředpokládané změny ve struktuře souborového systému či velikosti souborů.
Kontrola by se musela asi provádět z jiné domény na stejném webhostingu (je-li to technicky možné), protože pokud by došlo ke smazání scriptu kterej tu kontorlu bude dělat tak to bude na p.....
Teď mám spuštěnou kontrolu celkové velikosti webu, ale ta musí mít určitou toleranci, protože se vytvářejí a mažou logy, takže to není tak přesné.
Kdyby existoval script, který by uměl zjistit velikost každého souboru na webu (s vynecháním předem zvolených složek např.) a porovnat jí s předepsanou hodnotou, tak sice útoku stejně nezabráním, ale dozvím se o něm okamžitě a můžu ihned reagovat.
Teoreticky by bylo možné nastavit autoobnovení.
Měl by takový systém smysl?
Neexistuje náhodou už nějaké hotové řešení?
Díky za Váš čas.
Keeehi
Profil
Prefin:
Kontrola by se musela asi provádět z jiné domény na stejném webhostingu
Pokud by to šlo, tak je to špatný webhosting.

Takže k velikosti souborů mají přístup jen scripty v rámci toho webu. Takže kontrolní script by tam musel taky být a jak jsi psal, šel by smazat.
I kdyby se ti to povedlo nějak vyřešit, jak by jsi chtěl řešit situaci, když by útočník upravil část existujícího souboru tak, že by velikost zůstala stejná? Nejlepší možnost je tedy mít web nedobytný. I když to nejde, jelikož bezpečnost je míra a ne vlastnost.
norman
Profil *
No nebylo by třeba od věci koupit vps a nakonfigurovat si linux tak, aby Ti pravidelně odesílal data?
Prefin
Profil
Mno jo, trochu jsem tuhle odpověď čekal. Jen mě napadlo že když je možné soubor načíst z jiné domény (file_get_contents()). tak by mohlo být možné i zjistit jeho velikost.
Jenomže to je třeba vědět že existuje takže je to na houby. A pokud by bylo možné vypsat obsah složky, je to bezpečnostní díra.
No asi přemejšlím o kravině, ale to už tak někdy bejvá.

O koupi VPS uvažuji později - pokud to bude přinášet to co očekávám.
Díkas
Keeehi
Profil
Pomocí file_get_contents() také nezjistíš obsah souboru ale jen výstup, co ti server pošle.
Prefin
Profil
Já vím, ale ono se říká že něco nejde, dokud to někdo nedokáže.
Díky
norman
Profil *
Ještě by tu byla teoreticky jedna možnost, napiš si script, který Ti tyto udaje bude dávat, ošetři si ho nějakým klíčem tak, aby z getu to nebylo přístupné všem a pak může pomocí víše zmiňovaného file_get_contents nebo curlu ty data stahovat. Velikost db taky zjistíš..
Prefin
Profil
Díky, tohle by určitá možnost byla. Ještě to promyslím.
Keeehi
Profil
norman:
A kde by ten script byl? Zase na hostingu, takže pokud se útočníkovi provede průnik, může změnit a zfalšovat i tento soubor.
Prefin
Profil
Keeehi:
Vypadá to, že asi jediná trochu smysluplná možnost je mít vlastní server a něm si tyhle úlohy obsloužit.
I když se dá dneska shodit i celej server takže to bude asi opravdu pouze akademická možnost.
Takže v maximální možné míře nedobytnej web.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: