Intellect Board — cистема управления сайтом

Построение сайта на основе форума

Intellect Board — cистема управления сайтом »   Архив технической поддержки IntB до версии 2.15 »   безопасность IntB
RSS

безопасность IntB

Текущий рейтинг темы: Нет
Выводить сообщения
Правила раздела

<<Назад  Вперед>>Модераторы: aerograf, wsxПечать
 
Prosto_Alex
Начинающий


Всего сообщений: 32
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
6 июля 2005
и все-таки:
(простите, если что не так - я ни черта не смыслю в веб-программировании :))
php, на котором основан IntB в принципе весьма подвержен "дыркам". Пример - phpBB.
мой форум сейчас висит на IB 2.19 и в принципе всем бы устраивал (по безопасности, по функциям и т.д.), если бы не печальная проблема "обнуления файлов" - и соответственно потеря данных.
Пробовали даже меня менять сервер у хостера - принципиально легче не стало.
Ставить версию IB 3 не хочется - не стоит она того.

поэтому все-таки вопрос: какую оценку вы можете поставить своему детищу по уязвимостям?
форум любительский, поэтому каждый день следить за исправлениями (как phpbb) возможностей нет и не будет, а вероятность что какой-нибудь пионэр попытается крякнуть - велика, попытки уже были.

спасибо!
4X_Pro
Руководитель Проекта
Настоящий Компьютерщик
4X_Pro
Откуда: Москва
Всего сообщений: 3299
Рейтинг пользователя: 70


Ссылка


Дата регистрации на форуме:
29 сен. 2001
По поводу безопасности: как раз собирался выложить в ближайшее время статью по этому вопросу в раздел "Документация для пользователя". Вообще, с безопасностью дело обстоит следующим образом:
  • фильтрация имен модулей - есть. (Защита от атак вида m=../../../../etc/passwd или m=http://hacker.com/inject.php)
  • проверка корректности вводимых пользователем данных - есть (защита от попыток модификации формы редактирования профиля с целью повышения уровня доступа или изменения иных параметров, которые редактируются только администратором).
  • фильтрация ввода для защиты от SQL-injection (т.е. от попыток выполнить произвольный SQL-запрос, вставив в поле для ввода конструкцию вида "; SELECT * FROM User) - есть
  • блокирование вставки JavaScript (защита от XSS-атак - перехвата идентификатора сессии с целью получения прав админа) - вроде бы везде выполнено (в версии 2.13) , но вот здесь дать полной гарантии не могу: возможно, в каких-то редкоиспользуемых функциях "незакрытые" места еще остаются
  • для повышения безопасности имеется ряд вспомогательных мер: наиболее критичные действия (SQL-запрос и установку дополнения) можно выполнять только после ввода пароля пользователя System, а также имеется возможность привязки логина к переменной HTTP_USER_AGENT (которая зависит от используемого броузера), таким образом, в случае внедрения JavaScript-кода злоумышленник сможет воспользоваться перехваченными данными только либо в том случае, если у него точно такой же броузер (с точностью до версии) или же он умеет самостоятельно формировать HTTP-запросы (что часто оказывается за пределами возможностей "пионэров").
  • извлечь из cookies броузера пароль для повторного входа на форум практически невозможно: в cookies пароль хранится с двухкратным шифрованием: сначала берется MD5-хеш от пароля, далее к нему прибавляется случайная строка символов, хранимая на сервере, и от этого берется еще одна хеш-функция, и в cookies прописывается только результат этого двойного хеширования.
  • и последнее: теперь, когда Intellect Board выделен в отдельный проект, в случае обнаружения критических уязвимостей будет проводится рассылка уведомлений всем зарегистрировавшемся на данном форуме.

---
Спорить со мной по поводу того, что в IntB будет, а чего нет -- бесполезно!
Prosto_Alex
Начинающий


Всего сообщений: 32
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
6 июля 2005
понял, качаю для пробы :)

<<Назад  Вперед>>Модераторы: aerograf, wsxПечать
Intellect Board — cистема управления сайтом »   Архив технической поддержки IntB до версии 2.15 »   безопасность IntB
RSS

1 посетитель просмотрел эту тему за последние 10 минут
В том числе: 1 гость, 0 скрытых пользователей

Последние RSS
Ограничение доступа
не отображаются разделы
Архив версий
Установка стиля на Intellect Board 2.22
Завершилась работа над новой версией 3.00

Самые активные 5 тем RSS


Время выполнения скрипта: 0.0487. Количество выполненных запросов: 17, время выполнения запросов 0.0000
Creative Commons License Rambler's Top100 Rambler's Top100 Рейтинг@Mail.ru Valid HTML 4.01 Transitional Valid CSS!