abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:30 | Komunita

Etherpad (Wikipedie), svobodný online webový textový editor umožnující spolupráci v reálném čase, se stal oficiálním projektem organizace Software Freedom Conservancy (Wikipedie). Vývojáři Etherpadu se tak mohou stejně jako vývojáři dalších projektů soustředit pouze na vývoj softwaru a vše kolem zařídí Software Freedom Conservancy. Spuštěna byla instance Etherpadu pad.sfconservancy.org.

Ladislav Hagara | Komentářů: 1
dnes 10:40 | Zajímavý článek

Lukáš Růžička se v článku Workrave ve Fedoře aneb jak si nevytunelovat karpál na MojeFedora.cz věnuje aplikaci Workrave (Wikipedie) na sledování času stráveného na počítači, která může pomoci vyhnout se negativním účinkům práce s počítačem (RSI, CTS), nebo je alespoň výrazně zmírnit.

Ladislav Hagara | Komentářů: 1
dnes 10:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Shadow Warrior: Special Edition běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 1
včera 23:11 | Nová verze

Byla vydána verze 2.4.0 analyzátoru síťového provozu Wireshark. Jedná se o první stabilní verzi nové řady 2.4. Podrobný přehled novinek v poznámkách k vydání. V červnu proběhla konference SharkFest’17 US věnovaná Wiresharku. Záznamy přednášek jsou k dispozici na YouTube.

Ladislav Hagara | Komentářů: 0
včera 13:11 | Pozvánky

Spolek OpenAlt zve příznivce otevřeného přístupu na 142. brněnský sraz, který proběhne v pátek 21. července od 18:00 hodin ve Sport Centru Srbská (Srbská 4). Od 19:00 je pro zájemce zamluveno hřiště na plážový volejbal.

Ladislav Hagara | Komentářů: 0
včera 12:34 | Bezpečnostní upozornění

V GNOME Soubory, původně Nautilus, konkrétně v generování náhledů exe, msi, dll a lnk souborů byla nalezena a opravena bezpečnostní chyba CVE-2017-11421 s názvem Bad Taste. Při otevření složky obsahující tyto soubory může být spuštěn VBScript obsažen v názvech těchto souborů.

Ladislav Hagara | Komentářů: 2
včera 11:00 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 308 bezpečnostních chyb. V Oracle Java SE je například opraveno 32 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 28 z nich. V Oracle MySQL je opraveno 30 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 9 z nich.

Ladislav Hagara | Komentářů: 0
včera 01:00 | Komunita

Mark Krenz, známý svým twitterovým účtem @climagic (Command Line Magic), kde ukazuje, co vše a jak lze dělat v příkazovém řádku, přednášel včera v Praze. Záznam přednášky je k dispozici na YouTube.

Ladislav Hagara | Komentářů: 1
19.7. 10:00 | Nová verze

Microsoft vydal Skype pro Linux ve verzi 5.4 Beta. Nejnovější Skype pro Linux je postaven na frameworku Electron 1.7.4 a přináší skupinové videohovory.

Ladislav Hagara | Komentářů: 11
19.7. 06:00 | Nová verze

Werner Koch, zakladatel a hlavní vývojář GnuPG, oznámil vydání verze 1.8.0 svobodné kryptografické knihovny Libgcrypt. Jedná se o první stabilní verzi nové řady 1.8. Ta je API i ABI kompatibilní s řadou 1.7. Z novinek vývojáři zdůrazňují podporu kryptografických hašovacích funkcí Blake2 (Wikpedie), šifrovací mód XTS nebo zvýšení výkonu na architektuře ARM.

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (7%)
 (31%)
 (1%)
 (10%)
 (43%)
 (8%)
Celkem 1031 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: Vymazání paměti po provedení PHP skriptu

    30.8.2010 03:10 seqvoja
    Vymazání paměti po provedení PHP skriptu
    Přečteno: 435×
    Vytvořil jsem php skript, který se připojuje k databázi uživatelských účtů. Heslo pro připojení k databázi není nikde uloženo, zadává se při přihlašování přes HTTPS. Tím jsem rapidně zvýšil bezpečnost, nicméně ještě je tu riziko memory dumpu na serveru (a koneckoncu i na klientovi). Jakým způsobem se proti tomu dá bránit neboli jakým způsobem lze na konci provádění php skriptů vymazat pamět kterou to předtím alokovalo? Mám za to, že minimálně pod linuxem zůstanou data (včetně zadaného hesla) nacachované v paměti.

    Odpovědi

    Jendа avatar 30.8.2010 03:49 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    V PHP (a jiných vyšších jazycích) asi dost špatně, v nižších jazycích (C) se to tuším dělá tak, že se schová pointer na adresu, na které jsou uložena citlivá data, a po ukončení práce se na tu adresu uloží něco bezcenného, čímž se data přepíší. Příkladem implementace je luksSuspend z kolekce cryptsetup (od verze 1.1).

    Bojíš se spíš toho, že se ti někdo proláme na roota a stáhne si /dev/kmem, nebo cold boot útoku? Pokud je server v datacentru (rozuměj nemáš fyzický dohled), tak ti tam útočník stejně může nasadit backdoor… Jinak coldboot se dá taky řešit spínačem zevnitř case, který odpojí napájení, případně ještě obalením pamětí nějakým termoizolačním materiálem, aby nešly dostatečně rychle ochladit (ale zase ne moc, aby se nepřehřívaly…).

    P.S. FireWire se dá zrušit šroubovákem.

    </paranoia>
    30.8.2010 06:45 seqvoja
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    Server není v datacentru. Bojím se spíš o to, že se tam někdo dostane přes roota a stáhne si paměť nebo úniku paměti skrze nějakou díru v php. Jak těžké je vlastně v posledních kernelech získat obsah paměti? /dev/mem je limitováno a /dev/kmem je nefunkční.
    30.8.2010 08:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    Ta databáze běží na jiném stroji? Jak máte ošetřeno, že když někdo bude mít roota, neunese spojení k databázi v okamžiku, kdy k ní bude někdo legitimně přihlášen? A jak ošetříte, že si z paměti (nebo třeba úpravou vašeho skriptu) heslo nezjistí v okamžiku, kdy se uživatel připojuje? Myslím, že to řešíte zbytečně – že případný útočník má spoustu jiných a snazších možností, jak případně získaného roota zneužít.
    Jendа avatar 30.8.2010 14:38 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    /proc/kcore ;-)
    default avatar 30.8.2010 17:04 default | skóre: 22 | Madrid
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    v nižších jazycích (C) se to tuším dělá tak, že se schová pointer na adresu, na které jsou uložena citlivá data, a po ukončení práce se na tu adresu uloží něco bezcenného, čímž se data přepíší.
    Ještě si ten blok paměti musíš ale exkluzivně uzamknout, aby se ti neodswapoval. A některý OS tohle "podporují" tak trochu po svém…
    31.8.2010 01:22 Non_E | skóre: 24 | blog: hic_sunt_leones | Pardubice
    Rozbalit Rozbalit vše Re: Vymazání paměti po provedení PHP skriptu
    Tohle pokud vím neovlivníš. Pokud nedůvěřuješ hostingu, který má fyzický přístup ke tvému skriptu, hostuj jinde (doma třeba).
    Only Sith deals in absolutes.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.