abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 13:11 | Nová verze

    Byla vydána nová verze 2.53.18.2 svobodného multiplatformního balíku internetových aplikací SeaMonkey (Wikipedie). Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    dnes 00:22 | Zajímavý článek

    Na blogu programovacího jazyka Swift byl publikován příspěvek Psaní aplikací pro GNOME v programovacím jazyce Swift. Používá se Adwaita pro Swift.

    Ladislav Hagara | Komentářů: 4
    včera 17:44 | Zajímavý software

    egui je GUI knihovna pro programovací jazyk Rust běžící na webu i nativně. Vydána byla verze 0.27.0.

    Ladislav Hagara | Komentářů: 0
    včera 16:22 | Nová verze

    Byla vydána nová verze 6.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.13. Thunderbird na verzi 115.9.0.

    Ladislav Hagara | Komentářů: 0
    včera 14:44 | IT novinky

    Linka STOPonline.cz v roce 2023 přijala 3700 hlášení závadného obsahu na internetu, 22 bylo předáno PČR, 23 bylo předáno ISP a 944 závadových domén zobrazujících dětskou nahotu či pornografii bylo nahráno do mezinárodního systému ICCAM, který je spravován asociací INHOPE.

    Ladislav Hagara | Komentářů: 5
    26.3. 20:44 | Zajímavý článek

    Byla publikována podrobná analýza v upstreamu již opravené bezpečnostní chyby CVE-2024-1086 v Linuxu v nf_tables.

    Ladislav Hagara | Komentářů: 0
    26.3. 18:44 | Nová verze

    Byla vydána nová verze 4.1 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v obsáhlých poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    26.3. 18:22 | Nová verze

    Úkolníček Taskwarrior (Wikipedie) pro správu úkolů z příkazového řádku byl vydán ve verzi 3.0.0.

    Ladislav Hagara | Komentářů: 0
    26.3. 16:33 | IT novinky

    Společnost Canva stojící za stejnojmenným webovým grafickým editorem koupila společnost Serif stojící za grafickým editorem Affinity.

    Ladislav Hagara | Komentářů: 10
    26.3. 16:00 | Nová verze

    Byla vydána betaverze Fedora Linuxu 40, tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 16. dubna. Z novinek (ChangeSet) lze vypíchnout podporu frameworku pro strojové učení PyTorch. Fedora KDE Plasma Desktop přichází s Plasmou 6 a běží nad Waylandem. Fedora Workstation přichází s GNOME 46.

    Ladislav Hagara | Komentářů: 5
    Steam
     (24%)
     (29%)
     (14%)
     (9%)
     (24%)
    Celkem 380 hlasů
     Komentářů: 9, poslední 25.3. 18:16
    Rozcestník

    Administrace komentářů

    Jste na stránce určené pro řešení chyb a problémů týkajících se diskusí a komentářů. Můžete zde našim administrátorům reportovat špatně zařazenou či duplicitní diskusi, vulgární či osočující příspěvek a podobně. Děkujeme vám za vaši pomoc, více očí více vidí, společně můžeme udržet vysokou kvalitu AbcLinuxu.cz.

    Příspěvek
    10.1.2010 15:28 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Zabezpecenie intranetu (Apache + PHP + MySQL)
    A teď píšete ještě pořád o PHP, nebo už o nějaké aplikaci, která snad běží rovnou na hardwaru, aby se vyhnula případných chybám operačního systému?

    Tohle zabezpečení lze použít na Apache, takže myslím, že PHP se do toho počítá. Nevím, proč bych měl řešit v aplikaci chyby OS. Každý řeší jen to, co mu náleží. Chyby OS řeší dodavatel OS.
    Můžete popsat konkrétní příklad, jak by vypadala taková chyba v PHP, jejíž zneužití by znamenalo přístup k celé databázi, ale pokud by se uživatel přihlašoval svým jménem a heslem až k databázi, tato chyba by jej neohrozila?
    Velmi zjednodušeně:
    eval($input)
    kde proměnná input je nastavená uživatelem. Složitější chyby se pak na toto dají zredukovat.
    Takže každá taková vrstva musí opakovat všechny zabezpečovací mechanizmy vrstev předchozích.
    Proč? Každá vrstva řeší svoji část. Copak snad jádro řeší problémy blbě napsaných setuid aplikací? Nebo filtruje připojení k X serveru?
    A kde se tohle v praxi používá? Já bych si tipnul, že vůbec nikde.
    Máte pravdu, duplicitní snaha o totéž se nepoužívá nikde :-)
    Jsou dvě možnosti – buď si ta unikátní hesla někam ukládat a používat k nim hlavní heslo (už zase), nebo za předpokladu, že se používají otisky hesel se solí (třeba HTTP Digest) můžete klidně používat všude jedno a to samé heslo.
    A co třeba na kolejforum.cz odeslat místo hesla veřejnou část svého SSL cert. ? Nebo tuna jiných možností. Bohužel na to nikdo nebere ohled. OpenID je jedna malá snaha.
    Mít zabezpečení aplikace na úrovni účtů jednotlivých uživatelů v databázi mi připadá jako právě jeden z extrémů.

    Jiným zase připadá extrémní používat různé účty v OS ;-)
    Existuje vůbec nějaký hotový aplikační server, který počítá s možností používat ke kontrole oprávnění přímo účty v databázi?
    Počítá s tím pravděpodobně každý, protože na to nepotřebujete nějaké extra úsilí. Místo login(universal_pw) použijete login(user_pw). Každopádně middleware produkty, které k takovému postupu aktivně navádí, existují. Lotus Notes, Oracle TopLink, a další si jistě dohledáte sám.
    Kdy jste slyšel o nějakém případu, kdy by se podařilo získat kontrolu nad spojením aplikačního serveru do databáze, kdy se nejednalo o hloupé skládání SQL příkazů?
    No, tak za prvé, to "hloupé skládání" je docela nepříjemná věc, která je jedna z nejčastějších metod útoku. V trochu složitější aplikaci se SQL skládá na spousta místech a různými způsoby, divil bych se, kdyby to bylo perfektní. A pokud se můžu zaregistrovat jako návštěvník a pak zneužít nějaký blbě napsaný modul, abych dostal plná práva k databázi, tak to není zrovna dobré zabezpečení.

    Za druhé nepotřebujete moc důvtipu, abyste si domyslel, že pokud mi chyba v AS dovolí vykonávat kód ve svém chlívku, tak budete moci iniciovat SQL spojení pod jejím účtem :)

    A za třetí, spousta firemních programů (účto, projekty, docházka, ...) běží v režimu tlustý klient. Tj. aplikace připojující se do db běží na Vašem počítači. Stále máte pocit, že je dobrý nápad aby použila jedno heslo, které může ke všemu?

    A vůbec, proč já se snažím. Najděte si ty use casy sám.
    In Ada the typical infinite loop would normally be terminated by detonation.

    V tomto formuláři můžete formulovat svou stížnost ohledně příspěvku. Nejprve vyberte typ akce, kterou navrhujete provést s diskusí či příspěvkem. Potom do textového pole napište důvody, proč by měli admini provést vaši žádost, problém nemusí být patrný na první pohled. Odkaz na příspěvek bude přidán automaticky.

    Vaše jméno
    Váš email
    Typ požadavku
    Slovní popis
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.