Comments | vitus_wagner: Секьюрность некриптованного rsync-а.

vitus_wagner

Секьюрность некриптованного rsync-а.

Jun 28, 2015 00:56

Вот представьте себе, что есть сайт. Файлы на этот сайт выкладываются с помощью rsync, причем не с -e ssh, а с двумя двоеточиями после hostname. Кто не понял, зачем там два двоеточия, прекращает читать этот пост, читает man rsync, и возвращается сюда просветленный ( Read more... )

компьютерная безопасность, вебстроительское, вопросы

Leave a comment

Back to all threads

qkowlew June 27 2015, 23:07:15 UTC

Ага. Нашёл живой пример со своего хостинга.
Имеем SSI код вида:

имеем структуру каталогов

domain.com/html/ - корень сайта
domain.com/cgi-bin/ - выполняемое cgi (специально разведено в сторону от корня)

Информация о том, какой тут есть исполняемый ibanner с параметрами - достаточно интересная для XSS и похожих по смыслу атак на сайт.

vitus_wagner June 28 2015, 06:23:50 UTC

Ну это типичный случай как бы php - исполняемого на сервере кода, встроенного в html.

qkowlew June 28 2015, 06:44:46 UTC

"Более чистый пример" из и так анализируемого многими ботами-коллекторами - HTML FORM и ссылка в ней.

Короче - я со своим опытом хостингосерверного строения не могу найти действительно сильного аргумента за обязательное шифрование трафика в рамках поставленной задачи. Если так построивший сайт человек ДОСТАТОЧНО ДИСЦИПЛИНИРОВАН и не нарушает условий (например - ни разу не промахнулся с тем, куда положить .htpasswd файл ( ... )

vitus_wagner June 28 2015, 06:53:41 UTC

Вообще в свое время я пытался решить задачу, близкую к обратной - сделать форумный движок, который по определению позволяет полностью скопировать форум wget-ом и поднять его клон на том же движке, независимо от воли и желания хостера.

В общем, получилось, при условии, что все юзеры используют внешнюю по отношению к данному сайту (например OpenID) аутентификацию, либо мы готовы пойти на то, чтобы связаться со всеми юзерами, которые имели локальую аутентификацию, по имеющимся в открытом доступе контактам и сообщить им что "на клоне у вас пароль такой-то".

qkowlew June 28 2015, 07:51:07 UTC

сделать форумный движок, который по определению позволяет полностью скопировать форум wget-ом и поднять его клон на том же движке, независимо от воли и желания хостера.

Ну, строго говоря, если речь о переносе _админом форума_ - то образ сайта и дамп базы, лежащие в правильном временном каталоге - это есть во многих современных движках. Так что не вижу ничего в этой постановке задачи суперинтересного. :)

vitus_wagner June 28 2015, 08:02:46 UTC

Речь идет о том, что у желающего произвести клонирование, никакого доступа кроме как по http нет. Никакие дампы базы ему не доступны.

Вопрос именно о возможности форка форума при безвестном исчезновении админа или его неадекватном поведении.

qkowlew June 28 2015, 08:15:12 UTC

Дампы базы доступны админу, в движках встроенные средтсва сделать такой бекап - норма жизни вообще-то.

в первоначальной задаче ты написал "независимо от воли хостера"

Задача "независимо от воли админа форума" - ДРУГАЯ. :)

Back to all threads