GT raksta:
Arī IT drošības profesionāļiem gadās aizmirst par labo praksi, ja tā jāpielieto pašiem, nevis jāmāca citiem. Te ir attēls no zone-h.org šorīt. Es nevaru komentēt kāpēc ir atliecies viņu saits, taču kļūdas gadījumā iepazīstināt plašu publiku ar izmantoto DBPS un DB servera iekšējā tīkla adresi viennozīmīgi ir sliktais tonis. Kas par to šaubās, lai izlasa, piemēram, http://www.owasp.org/documentation/topten/a7.html.
Varētu jau nepievērst uzmanību, bet konkrētais saits zināmā mērā ir daļa no PR kompānijai Domina Security, kas sevi pozicionē kā konsultantu IT drošības jautājumos http://www.dominasecurity.com/rus/company.php.
Vēlos uzsvērt, ka mana spama mērķis nav “noriet”, kādu konkrētu uzņēmumu, bet gan atgādināt pods.lv publikai, ka labo praksi tieši tāpēc sauc par praksi, ka tai nevajadzētu palikt tikai “uz papīra”.
cik zīmīgi džeks skrīnšotā atstājis savu ūbermēmi kruto, piedrazoto task-baru. taisni prieks.
nu, jā, ok, "it kā", lai tauta redz datumu un laiku.
Tevi tas tik ljoti satraca ? 🙂
IMHO, tas nebūt nav sliktais tonis. SQL serveris, iespējams, sēž aiz proxy kā tam arī pateisībā vajadzētu būt un tam no ārējās IP nav nekādas jēgas un, patiesībā arī vajadzības.
Ļoti normāla prakse. Un, ja DB serveris ir nosmacis, tad reālā IP jau viņu neglābs no komas!!! =)
nu tā lapa nekas uber kools neizskataas, kaut vai shamais links valodu maiņai:
http://www.dominasecurity.com/eng
rezultātā: "HTTP/1.1 404 Object Not Found"
nezinu gan coolynx kur tu tadas stulbibas esi salasijies, tachu DB ieksh DMZ, vai dest.ip over NAT vai Port FWD ir lielako IT uznjemumu prakse, imho tas <b>tieshi ir pareizi</b> 🙂 …turet kaut ko uz areja servera ir nedroshi.
ibio, runa nav par to, vai iekšējā, vai kāda adrese, bet par to, ka nav labi rādīt visai pasaulei to, kur un uz kādas IP tev atrodas DB serveris un kāpēc viņš patiesībā tev ir nosprādzis. Tieši tas pats arī attiecas uz citiem PHP un pārējo servera puses programmēšanas valodu izdotajām miršanas pazīmēm. PHP gadījumā production environmentā viennozīmīgi ir jāizslēdz display_errors. Par to jau ir runa, nevis par mistiskām IP adrešu izmantošanām.
2 Kaklz. Šādu adresi var rādīt visai pasaulei droši, jo tu no ārpuses tāpat neko nevarēsi izdarīt. DB serveris ir aiz mūra, kam vaļā, droši vien (tā tam vajadzētu būt) ir tikai 80, 21, 22 un augšējie porti. Parādi man, kā tu varēsi pieslēgties pie servera 10.0.201, ja tā ir iekšējā IP (nevis mistiska kā tu saki)!? =)
IP adreses hostname vietā bieži vien izmanto tādēļ, ka hostnames PHP neresolvē (IMHO atkarīgs no administrēšanas).
slicer, atliek man tikt klāt vienam no tava tīkla kompjiem un es uzreiz zinu, pie kādas adreses man jālien, lai tiktu pie datubāzes. Jebkāda informācija, kas neattiecas uz lapas apmeklētāju, viņam NAV JĀREDZ
Šitas šodien arī labs: http://www.micrecmusic.lv/
DB tomēr vislabāk ir likt nevis iekš DMZ, bet jau iekšpusē.
Kaklz, jā zini, kur jālien, bet vai tu vari ielīst? Ok, salauzt var visu, bet ne visi to var izdarīt un personas, kas var tikt cauri tādai sistēmai un nokļūt līdz serverim, parasti nodarbojas ar citām, daudz svarīgākām lietām.
Par to, ka nav jāredz, piekrītu. Tā jau ir saita izstrādes vaina.
Slicer: Droši, nedroši – tev laikam tomēr nepieleca. Ja tev sēžot uz poda pēkšņi zvana telefons, tu palūdz kādu atbildēt, ka d*rs vai arī esi aizņemts? 😉
=)
Nevajag tik sāpīgi uztvert šādus saitu paziņojumus. Tas nekas, ka pasākums pieder drošības kompānijai. Visur ir līkas rokas. Unix arī skaitās viena no drošākajām sistēmām un vinalga tajā ir caurumi. Tā arī šeit. Nu zēni biki sakodēja greizi. Un kas par to?
#13 Skaidri un gaishi 🙂
offtopic: kas jauns lattelekom maajas/pilseetas dsl – joprojaam pil, gljuko un velkas vai arii ir lietas uzlabojushaas. mans vasja provaideris gljuko biezaak nekaa straadaa ;(
nu, portabilitātes dēļ jau vienmēr var lietot localhost symlinkošanu
jautājums – ar mysql atjaunošanu nāca lietotājs root@build – kas iraid tas build?
hah vētra tējas glāzē + daži itkā zinoši cilvēki smuki izgāzās komentos :]
Nu un??? kas pa to ja zini SQL serveru kaut kaadu tur IP?
2 NeoX.
Tur jau tā lieta, ka nekas nav. Daži "hakeri" domā, ka ja zin IP, tad visu var uzhakerēt…
Citiem akal nepatīk, ka tādas lielas drošības kompānijas kā šī atļaujas kļūdas gadījumā visiem parādīt IEKŠĒJO IP. Tjip "Ārprāts. Kā tā drīkst!?" Paši tai pat laikā adminē citu veidotus blogus un ar savām līkajām ķepām nemāk neko uztaisīt no nulles.
Eh, ka pateicu visu, ko domāju. Labi palika… =)
2 slicer:
Nu labi, taadaa zinjaa es piekriitu. Bet tikai nedomaaju ka TAADA notikuma deelj bija veerts rakstu rakstiit! 🙂 No otras puses vareeja jau tie admini uzlikt kaut kaadu error-handling etc.