blogoAutor:
valijoi, 29 ianuarie 2009, 05:59 1534 26
Acum e mult mai uşor.
Mulțumesc că ai citit acest articol. Dacă vrei să susții acest blog, cumpără un abonament de 5$
26 comentarii
NOU
#1
Lupu' moralist
Programatori de schimbul trei sau studenti de anu 1… etc. etc. Stim mantra asta, Zoso. Si oarecum si-o merita: te zgarcesti la bani, te expui la daune.
Insa nu ti se pare ca exista si o problema „morala” cand faci publicitate la user/pass de BD a unei soc. de asigurari ? Asta nu e un XSS cu care poti sa te amuzi nevinovat. E ceva mai mult de atat.
@Lupu’ moralist: e cu dus si intors. mi se pare ca daca doar anunţi ca e o problema risti sa nu fii luat in seama. pana nu le strica cineva ceva nu se vor invata minte.
La ce bani iau unii dintre programatorii din romania nu e de mirare ca se intampla asa ceva
00
NOU
#6
blink
cred ca ar mai fi mers un tag la postul asta : idocracy :)) doamne ce idioti. Btw: „Programatori de schimbul trei” = :))))))))))))))))))
00
NOU
#7
apolodor.ln
I loled ! intra la categoria : fute-i una dupa cap programatorului.
00
NOU
#8
ipo
Ce ma enerveaza posturile astea! Bai, nu tota lumea se pricepe la programare and stuff! Sa-mi explice si mie cineva ce-i dracia aia. Am inteles ca e o greseala, dar care sunt implicatiile?
00
NOU
#9
cineva
neah nu programatorul e de vina ci sysadminul care nu a definit fisierele .inc
ca phpuri.
sau nu a dat voie (din paranoia sau lene de a inlocui defaults) la un .htaccess care facea asta
@ipo: Ceea ce vezi tu în link este fişierul de management al bazei de date de la site-ul respctiv, fişier care conţine toate informaţiile necesare copierii tuturor datelor din baza de date.
Pentru a interzice accesul la asemenea fişiere critice se pot băga câteva comenzi în fişierul de configurare .htaccess pe care-l recunoaşte orice server de pagini web (Apache) şi se bagă câte un fişier index.html în fiecare folder. Deci e simplu de protejat.
Ceea ce spune Zoso aici este că unii nu respectă nici cele mai elementare reguli de securitate a informaţiei.
00
NOU
#11
SuperAlix
@Robintel: merci ca nici mintea mea de ignorant nu stia ce inseamna..
00
NOU
#12
SuperAlix
auuuaaaleeeeuuuuu… am uitat o virgula..
I AM THAT I AM sau I AM THAT, I AM
00
NOU
#13
razvan
eu cred ca astia au ca si clienti tinta numai oamenii care pot compila codul
Intr-adevar e naspa treaba. Au expus structura bazei de date, user-ul si parola pentru conexiunea la baza de date. Dar atata timp cat nu te poti conecta la mysql din afara (accepta doar conexiuni locale), situatia nu-i asa grava.
In plus, nu cred ca o firma serioasa tine date confidentiale intr-un mysql aflat pe aceeasi masina (server) cu site-ul. SPER ca datele sunt tinute in alta parte si ca acel mysql tine doar date ce vor fi afisate pe site.
BTW: m-am saturat de ‘programatori’ care amesteca business tier cu presentation tier. Plm.. in db.inc ar trebui sa tine variabile, functii, clase, metode pentru conectarea la baza de date si diverse operarii in db. Ce cauta partea de afisare ([table table border=0 cellspacing=0 cellpadding=0 width=902..) in acest fisier?
@cineva
Intr-adever, nu-i vina programatorului, accesul la fisier trebuie restrictionat. Dar plm.. ce cauta in ‘/img’? Adica daca ai vrea sa palmezi fisierul ca sa poata fi folosit doar pentru include-uri, il puneai undeva in /include, /web-inf, etc. Din cate am observat in /img sunt tinute imagini ) .. deci de unde sa stie sysadmin-ul ca acolo s-ar putea sa fie un fisier very important?
00
NOU
#15
ipo
@Robintel: thx de lamurire.
00
NOU
#16
Dan
Au reparat! Au mutat fisierul in root =)))
Baaaaaaaahhhhh! Deci frate in halul asta nu se poate!
@gupi: nu a spus nimeni ca este sfarsitul… dar vezi tu, daca iti setezi data la pc inainte de septembrie 2004 si intri la o sa iti dai seama ca e destul de grav.
Este o cretinatate sa ignori o asemenea problema (asa cum si cei de la romasig.ro o fac cu problema lor evidenta, de atatea orenerezolvata), la asta ma refeream, nu ca este sfarsitul…
Daca esti asa expert incat sa spui ca nu e o problema reala (cea cu certificatele), nu cred ca este cazul sa iti cer sa iti imaginezi scenarii in care aceasta vulnerabilitate poate fi exploatata… dar este posibil sa inteleg eu gresit ce ai vrut sa imi spui recomandand articolul ala… ca ma aprobi ca e o problema sau ca sunt eu cretin si mi se pare mie ca e o problema…
@cineva, Dan Cotofanu: De obicei „programatorul” ala e si sysadmin in romania… Indiferent cum ar fi treaba, este una din cele mai grave scapari.
Si inca ceva, nu sysadmin-ul este cel vinovat ca „nu a definit fisierele .inc
ca phpuri.” (sper sa inteleaga lumea ce ai vrut sa spui :)) sper ca nu esti programator) cum spui tu, ci programatorul ca si-a denumit fisierele cu picioarele. Programatorul trebuia sa se asigure de securitate dingur… la chestii din astea nu te lasi in seama nimanui, faci TU totul asa cum trebuie…
Eu asa vad problema…
00
NOU
#21
Dan
Apropos de securitate, mi-am mintit de problema certificatelor ssl semnate md5… Exista o problema grava cu md5 (inca din 2004 descoperita) numita md5 collision. Cu toate ca s-a demonstrat cat de grava e problema (se poate crea un CA cu care sa iti semnezi singur certificate fara ca vreun brouser sa le refuze, deci la prima vedere sunt valide), in 2008 Twate, RapidSSL si altii inca foloseau metoda… si probabil o fac si azi…
00
NOU
#22
Tutzi
poate vrei sa zici user: romasigr. Acum o mutat-o aici: :)) clever man
00
NOU
#23
Cristian
Faptul că acel cod e la vedere nu mi se pare atât de grav, cât faptul că e scris cu picioarele pur și simplu. Nu tu indentare, nu tu comentarii și deși fișierul se cheamă „db” sunt o groază de chestii de prezentare (generare HTML) în el.
Frumos ar fi fost ca username-ul și parola să fie stocate în alt fișier inaccesibil de pe Internet, dar hai să spunem că serverul MySQL e inaccesibil din afară, deci nici asta nu e o problema majoră. În schimb modul în care se fac query-urile SQL este execrabil. Acum câțiva ani ar fi fost ok, dar astăzi când se știe de „injecții” nu prea mai e. De fapt asta și e marea problemă de securitate.
Văd că Znuff a mai găsit o problemă și anume reutilizarea parolelor
@Robintel: care e rostul fișierelor index.html în fiecare director, dacă restricționezi accesul la fișierele „*.inc”?
@Dan: sysadmin-ul configurează serverul și dacă era cu experiență în așa ceva (aplicații PHP), ar fi trebuit să știe că fișierele „*.inc” conțin cod sursă. E drept că și programatorul putea să facă o verificare, n-ar fi fost mare brânză.
P.S.: Se mai întreabă lumea ce am cu PHP-ul sau mai bine zis cu ăia de își zic „programatori PHP” când ei habar n-au ce-i aia programare. Acum am o explicație excelentă, păcat doar că unii (unele firme) nu bagă la cap asta.
00
NOU
#24
Gupi
@znuff, ce trafic au avut luna asta ?
00
NOU
#25
Lucianu
Asa se intampla cand angajezi pe cineva si angajatorul nu are treaba cu meseria angajatului. Nu ai cum sa iti dai seama ca nu a fost alegerea perfecta pana nu se intampla o chestie de`asta (de ce sa-i dau lui ICSulescu 0000E cand vine nea Gheo cu 000E si face acelasi lucru?).
Sysadmini slabi sunt destui sunt chestii mult mai complexe de care trebuie sa aiba grija ma intreb cum face fata daca chestii elementare sunt facute aiurea … si colac peste pupaza rezolva chestia mutand fisierul in / =)) vai sh-amar!
Site-ul http://www.romasig.ro are acum o noua infatisare fiind conceput doar pentru a vinde asigurari rca online. Vechiul site a fost creat prin 2002 si a fost lasat balta nemaifiind actualizat continutul si codul o buna perioada de timp. Speram ca de aceasta data sa fie pe placul cat mai multor persoane.
Programatori de schimbul trei sau studenti de anu 1… etc. etc. Stim mantra asta, Zoso. Si oarecum si-o merita: te zgarcesti la bani, te expui la daune.
Insa nu ti se pare ca exista si o problema „morala” cand faci publicitate la user/pass de BD a unei soc. de asigurari ? Asta nu e un XSS cu care poti sa te amuzi nevinovat. E ceva mai mult de atat.
mai au foldere fara un amarat de index in ele, dar asta cu db.inc este super tare.
@Lupu’ moralist: e cu dus si intors. mi se pare ca daca doar anunţi ca e o problema risti sa nu fii luat in seama. pana nu le strica cineva ceva nu se vor invata minte.
Să fie ăsta?
La ce bani iau unii dintre programatorii din romania nu e de mirare ca se intampla asa ceva
cred ca ar mai fi mers un tag la postul asta : idocracy :)) doamne ce idioti. Btw: „Programatori de schimbul trei” = :))))))))))))))))))
I loled ! intra la categoria : fute-i una dupa cap programatorului.
Ce ma enerveaza posturile astea! Bai, nu tota lumea se pricepe la programare and stuff! Sa-mi explice si mie cineva ce-i dracia aia. Am inteles ca e o greseala, dar care sunt implicatiile?
neah nu programatorul e de vina ci sysadminul care nu a definit fisierele .inc
ca phpuri.
sau nu a dat voie (din paranoia sau lene de a inlocui defaults) la un .htaccess care facea asta
@ipo: Ceea ce vezi tu în link este fişierul de management al bazei de date de la site-ul respctiv, fişier care conţine toate informaţiile necesare copierii tuturor datelor din baza de date.
Pentru a interzice accesul la asemenea fişiere critice se pot băga câteva comenzi în fişierul de configurare .htaccess pe care-l recunoaşte orice server de pagini web (Apache) şi se bagă câte un fişier index.html în fiecare folder. Deci e simplu de protejat.
Ceea ce spune Zoso aici este că unii nu respectă nici cele mai elementare reguli de securitate a informaţiei.
@Robintel: merci ca nici mintea mea de ignorant nu stia ce inseamna..
auuuaaaleeeeuuuuu… am uitat o virgula..
I AM THAT I AM sau I AM THAT, I AM
eu cred ca astia au ca si clienti tinta numai oamenii care pot compila codul
Intr-adevar e naspa treaba. Au expus structura bazei de date, user-ul si parola pentru conexiunea la baza de date. Dar atata timp cat nu te poti conecta la mysql din afara (accepta doar conexiuni locale), situatia nu-i asa grava.
In plus, nu cred ca o firma serioasa tine date confidentiale intr-un mysql aflat pe aceeasi masina (server) cu site-ul. SPER ca datele sunt tinute in alta parte si ca acel mysql tine doar date ce vor fi afisate pe site.
BTW: m-am saturat de ‘programatori’ care amesteca business tier cu presentation tier. Plm.. in db.inc ar trebui sa tine variabile, functii, clase, metode pentru conectarea la baza de date si diverse operarii in db. Ce cauta partea de afisare ([table table border=0 cellspacing=0 cellpadding=0 width=902..) in acest fisier?
@cineva
Intr-adever, nu-i vina programatorului, accesul la fisier trebuie restrictionat. Dar plm.. ce cauta in ‘/img’? Adica daca ai vrea sa palmezi fisierul ca sa poata fi folosit doar pentru include-uri, il puneai undeva in /include, /web-inf, etc. Din cate am observat in /img sunt tinute imagini ) .. deci de unde sa stie sysadmin-ul ca acolo s-ar putea sa fie un fisier very important?
@Robintel: thx de lamurire.
Au reparat! Au mutat fisierul in root =)))
Baaaaaaaahhhhh! Deci frate in halul asta nu se poate!
@Dan, https://gen.xyz/success#blogs.techrepublic.xyz
@gupi: nu a spus nimeni ca este sfarsitul… dar vezi tu, daca iti setezi data la pc inainte de septembrie 2004 si intri la o sa iti dai seama ca e destul de grav.
Este o cretinatate sa ignori o asemenea problema (asa cum si cei de la romasig.ro o fac cu problema lor evidenta, de atatea orenerezolvata), la asta ma refeream, nu ca este sfarsitul…
Daca esti asa expert incat sa spui ca nu e o problema reala (cea cu certificatele), nu cred ca este cazul sa iti cer sa iti imaginezi scenarii in care aceasta vulnerabilitate poate fi exploatata… dar este posibil sa inteleg eu gresit ce ai vrut sa imi spui recomandand articolul ala… ca ma aprobi ca e o problema sau ca sunt eu cretin si mi se pare mie ca e o problema…
http://www.romasig.ro/cpanel
username-ul e alexpit
parola aflati-o voi
@cineva, Dan Cotofanu: De obicei „programatorul” ala e si sysadmin in romania… Indiferent cum ar fi treaba, este una din cele mai grave scapari.
Si inca ceva, nu sysadmin-ul este cel vinovat ca „nu a definit fisierele .inc
ca phpuri.” (sper sa inteleaga lumea ce ai vrut sa spui :)) sper ca nu esti programator) cum spui tu, ci programatorul ca si-a denumit fisierele cu picioarele. Programatorul trebuia sa se asigure de securitate dingur… la chestii din astea nu te lasi in seama nimanui, faci TU totul asa cum trebuie…
Eu asa vad problema…
Apropos de securitate, mi-am mintit de problema certificatelor ssl semnate md5… Exista o problema grava cu md5 (inca din 2004 descoperita) numita md5 collision. Cu toate ca s-a demonstrat cat de grava e problema (se poate crea un CA cu care sa iti semnezi singur certificate fara ca vreun brouser sa le refuze, deci la prima vedere sunt valide), in 2008 Twate, RapidSSL si altii inca foloseau metoda… si probabil o fac si azi…
poate vrei sa zici user: romasigr. Acum o mutat-o aici: :)) clever man
Faptul că acel cod e la vedere nu mi se pare atât de grav, cât faptul că e scris cu picioarele pur și simplu. Nu tu indentare, nu tu comentarii și deși fișierul se cheamă „db” sunt o groază de chestii de prezentare (generare HTML) în el.
Frumos ar fi fost ca username-ul și parola să fie stocate în alt fișier inaccesibil de pe Internet, dar hai să spunem că serverul MySQL e inaccesibil din afară, deci nici asta nu e o problema majoră. În schimb modul în care se fac query-urile SQL este execrabil. Acum câțiva ani ar fi fost ok, dar astăzi când se știe de „injecții” nu prea mai e. De fapt asta și e marea problemă de securitate.
Văd că Znuff a mai găsit o problemă și anume reutilizarea parolelor
@Robintel: care e rostul fișierelor index.html în fiecare director, dacă restricționezi accesul la fișierele „*.inc”?
@Dan: sysadmin-ul configurează serverul și dacă era cu experiență în așa ceva (aplicații PHP), ar fi trebuit să știe că fișierele „*.inc” conțin cod sursă. E drept că și programatorul putea să facă o verificare, n-ar fi fost mare brânză.
P.S.: Se mai întreabă lumea ce am cu PHP-ul sau mai bine zis cu ăia de își zic „programatori PHP” când ei habar n-au ce-i aia programare. Acum am o explicație excelentă, păcat doar că unii (unele firme) nu bagă la cap asta.
@znuff, ce trafic au avut luna asta ?
Asa se intampla cand angajezi pe cineva si angajatorul nu are treaba cu meseria angajatului. Nu ai cum sa iti dai seama ca nu a fost alegerea perfecta pana nu se intampla o chestie de`asta (de ce sa-i dau lui ICSulescu 0000E cand vine nea Gheo cu 000E si face acelasi lucru?).
Sysadmini slabi sunt destui sunt chestii mult mai complexe de care trebuie sa aiba grija ma intreb cum face fata daca chestii elementare sunt facute aiurea … si colac peste pupaza rezolva chestia mutand fisierul in / =)) vai sh-amar!
Site-ul http://www.romasig.ro are acum o noua infatisare fiind conceput doar pentru a vinde asigurari rca online. Vechiul site a fost creat prin 2002 si a fost lasat balta nemaifiind actualizat continutul si codul o buna perioada de timp. Speram ca de aceasta data sa fie pe placul cat mai multor persoane.