X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >
Открыть тему
Тема закрыта
> Несколько сайтов на 1 аккаунте, вопрос по безопасности
Созерцатель
Созерцатель
Topic Starter сообщение 6.3.2013, 23:21; Ответить: Созерцатель
Сообщение #1


Бывалый
****

Группа: User
Сообщений: 256
Регистрация: 29.8.2009
Поблагодарили: 15 раз
Репутация:   3  


Есть такой вопрос, к примеру на 1 аккаунте несколько сайтов.
Требуется сделать так, если посредством уязвимости был получен доступ к одному сайту, злоумышленник не смог получить доступ к остальным сайтам.

1) Например, некоторые хостинги размещают любой дополнительный сайт (или даже сайт на поддомене) в отдельную папку.

2)Большинство других хостингов наоборот, все доп. сайты размещают в папке основного сайта..

Насколько в первом варианте будет уменьшен риск доступа к остальным сайтам, в случае взлома?

Может быть можно и как-то посредством htaccess
можно сделать так, чтобы ограничить лаз по другим сайтам в подпапках..

Или же не имеет никакого значения, как и куда размещает хостинг дополнительные сайты на аккаунте, и переплачивать за услугу "отдельных папок" не стоит?
Ведь случае залива шелки, доступ всё равно будет получен ко всем сайтам?

Сообщение отредактировал Созерцатель - 6.3.2013, 23:22
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
sir95
sir95
сообщение 7.3.2013, 0:25; Ответить: sir95
Сообщение #2


Новичок
*

Группа: Viewer
Сообщений: 12
Регистрация: 30.6.2010
Из: Украина
Поблагодарили: 1 раз
Репутация:   -2  


Что значит отдельные папки?
Почитайте про open_basedir.
Или же не имеет никакого значения, как и куда размещает хостинг дополнительные сайты на аккаунте, и переплачивать за услугу "отдельных папок" не стоит?

Возьмите себе VDS и не стоит переплачивать, на VDS будете рулить как Вы захотите.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Maxim-KL
Maxim-KL
сообщение 7.3.2013, 0:37; Ответить: Maxim-KL
Сообщение #3


MaximGroups.net
******

Группа: Banned
Сообщений: 1423
Регистрация: 24.9.2010
Из: localhost
Поблагодарили: 436 раз
Репутация:   122  


sir95, А лучше соблюдайте элементарные правила безопасности и делайте бекапы. И не парьтесь с взломом ваших сайтов... popcorn2.gif


--------------------
Забанен за мошенничество
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
sir95
sir95
сообщение 7.3.2013, 1:21; Ответить: sir95
Сообщение #4


Новичок
*

Группа: Viewer
Сообщений: 12
Регистрация: 30.6.2010
Из: Украина
Поблагодарили: 1 раз
Репутация:   -2  


Maxim-KL, ну вообще-то, это должен делать хостер smile.gif И каждый день восстанавливать из бэкапа? Тут аудит помогает, а не восстановление из бэкапа)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Созерцатель
Созерцатель
Topic Starter сообщение 7.3.2013, 19:28; Ответить: Созерцатель
Сообщение #5


Бывалый
****

Группа: User
Сообщений: 256
Регистрация: 29.8.2009
Поблагодарили: 15 раз
Репутация:   3  


sir95, sir95,
(sir95 @ 7.3.2013, 0:25) *
Что значит отдельные папки?

ну например, у одного из хостингов это называется
Сайтов (в разные директории)

Хотя вроде в 1 посте подробно сформулировал.
заходя на фтп, попадаем в "WWW" где идут доменные папки отдельные для каждого сайта.

у других же заходя в папку public_html мы получаем и содержимое основного сайта и содержимое других дополнительных сайтов на 1 аккаунте, все валяются в одной основной папке
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
tszyan
tszyan
сообщение 7.3.2013, 21:47; Ответить: tszyan
Сообщение #6


Участник
***

Группа: User
Сообщений: 207
Регистрация: 28.1.2013
Из: Москва
Поблагодарили: 110 раз
Репутация:   27  


(Созерцатель @ 7.3.2013, 19:28) *
Сайтов (в разные директории)

Для безопасности это ничего не значит.

Если злоумышленник получил доступ к файловой системе, то не играет роли где располагается папка и как Вы ее на хостинге видите. В любом случае это папка.
Имеет значение от имени какого пользователя запускается веб-сервер, каким пользователям даны права на те или иные папки и какие права, конфигурация в php.ini (и пр.), а также разные ли конфигурации у сайтов или одна, НО не то где "физически" находится папка.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
rjksdfhe
rjksdfhe
сообщение 7.3.2013, 22:26; Ответить: rjksdfhe
Сообщение #7


Straight arms
*******

Группа: Active User
Сообщений: 2760
Регистрация: 21.4.2009
Из: Мытищи, МО, РФ
Поблагодарили: 1111 раз
Репутация:   163  


.htaccess тут не причём, это для HTTP-сервера, т.е. для внешних запросов

Права доступа извне определяются правами доступа по ftp, по умолчанию - полный доступ ко всем доменам/сайтам.

PHP-скрипт имеет полные права читать любую директорию вашего хостинга от корня, и записывать всё что угодно куда угодно. И нигде никогда не видел, чтобы как-то php-доступ к файловой системе распространялся бы на директории (в отличие от FTP, там всё решено).

Для безопасности пока - это огромная дыра. Если хоть через один сайт что-то зальют - получают полный доступ ко всем сайтам на хостингю.

Ведь случае залива шелки, доступ всё равно будет получен ко всем сайтам?

Безусловно.


Поблагодарили: (1)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
portos
portos
сообщение 8.3.2013, 0:15; Ответить: portos
Сообщение #8


Завсегдатай
*****

Группа: Active User
Сообщений: 900
Регистрация: 9.9.2010
Поблагодарили: 124 раза
Репутация:   17  


1. ищите нормального хостера, а не студентов с парочкой системных блоков
2. возьмите хостинг с функцией автобекапа - всегда можно будет откатить взломанный сайт
3. не храните пароли от хостинга в клиентах
4. не открывайте взломанные программы, скаченные с мутных сайтов и варезников

тогда все будет ок!


--------------------
1. Нужен качественный трафик? Лучшие тизерные сети!
2. Лучшие CPA-сети!!!
3. SSD-хостинг за 83 руб! Быстрее в 49 раз! 30 дней теста! Возьму сайт на SEO, Я.Директ
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Созерцатель
Созерцатель
Topic Starter сообщение 11.3.2013, 17:44; Ответить: Созерцатель
Сообщение #9


Бывалый
****

Группа: User
Сообщений: 256
Регистрация: 29.8.2009
Поблагодарили: 15 раз
Репутация:   3  


Ребят, спасибо всем за ответы, но вопрос был в первом посте, насчет другой безопасности это всё понятно, обновляй, не храни, и так далее. Интересен лишь момент с директориями.
Много бекапы решат если на аккаунте будет 20+ сайтов?

(tszyan @ 7.3.2013, 21:47) *
Для безопасности это ничего не значит.

Если злоумышленник получил доступ к файловой системе, то не играет роли где располагается папка и как Вы ее на хостинге видите. В любом случае это папка.

очень странно, т.к.общался с техподдержкой по этому поводу, они утверждают, что это хоть и не панацея, но всё же плюс к защите.

Панацеей, как я понял, в этом вопросе, можно считать покупку просто разных аккаунтов, но тогда тарифы предлагающие размещать по 20 сайтов на аккаунт теряют смысл в этом случае.

PHP-скрипт имеет полные права читать любую директорию вашего хостинга от корня, и записывать всё что угодно куда угодно. И нигде никогда не видел, чтобы как-то php-доступ к файловой системе распространялся бы на директории (в отличие от FTP, там всё решено).

Для безопасности пока - это огромная дыра. Если хоть через один сайт что-то зальют - получают полный доступ ко всем сайтам на хостингю.

Вы уверены в том, что пишите?
Я правильно понял, по вашему получив доступ хотя бы к одному сайту, мы автоматом получаем доступ ко всем сайтам на хостинге? smile.gif
Может быть имелось ввиду в рамках одного акка.

Сообщение отредактировал Созерцатель - 11.3.2013, 17:46
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
tszyan
tszyan
сообщение 11.3.2013, 19:45; Ответить: tszyan
Сообщение #10


Участник
***

Группа: User
Сообщений: 207
Регистрация: 28.1.2013
Из: Москва
Поблагодарили: 110 раз
Репутация:   27  


(Созерцатель @ 11.3.2013, 17:44) *
Я правильно понял, по вашему получив доступ хотя бы к одному сайту, мы автоматом получаем доступ ко всем сайтам на хостинге?

Вам уже советовали выше почитать про open_basedir:
http://www.php.net/manual/ru/ini.core.php#ini.open-basedir

Проблема в том что если у Вас дешевый хостинг для 20 сайтов, то конфигурация скорее всего для них общая и open_basedir - одна и та же. А значит, да - злоумышленник получает доступ ко всем сайтам залив php-скрипт на один из них.

(Созерцатель @ 11.3.2013, 17:44) *
общался с техподдержкой по этому поводу, они утверждают, что это хоть и не панацея, но всё же плюс к защите.


Пусть ТП обоснует это заявление техническим языком с конкретикой. На "плюс к защите" возразить нечего, ибо это заявление "ни о чем".

Сообщение отредактировал tszyan - 11.3.2013, 19:46
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
2 страниц V   1 2 >
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Эффективное продвижение сайтов естественными ссылками | Крауд-маркетинг
Ссылки с форумов, сервисов вопросов-ответов и т.д.
0 iworkshop 33 Сегодня, 1:00
автор: iworkshop
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыКомплексный прогон сайтов, нет каталогов №3 от shtaketo, хороший рост НЧ,СЧ,ВЧ Тиц 10-30 пр 1-3
261 shtaketo 217399 Вчера, 23:46
автор: Gelik
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыПредлагаю прогон по 4 млн сайтов.
545 MorKer 692444 Вчера, 23:44
автор: Gelik
Открытая тема (нет новых ответов) Комплексное продвижение + Внутренняя оптимизация сайтов + Контекстная реклама
4 Frolov_Studio 755 Вчера, 22:14
автор: lorenzo
Открытая тема (нет новых ответов) Как установить источник заражения сайтов?
5 kelevra 322 Вчера, 17:55
автор: Nell


 



RSS Текстовая версия Сейчас: 12.12.2017, 1:07
Дизайн