Portál AbcLinuxu, 6. prosince 2025 08:03

Bezpečnost webových aplikací

21.7.2008 20:24 | Přečteno: 1882× | phpMyAdmin | poslední úprava: 21.7.2008 21:46

Na bezpečnostním mailing listu phpMyAdmina se objevil nějaký etický hacker a začal trochu šťourat do našeho kódu, což je jenom dobře . První výsledky tohoto šťourání už přinesla verze 2.11.7.1, ale s většinou změn přijde až 2.11.8.

Kromě spousty určitě užitečných připomínek, ale přišel i s jedním kontroverzím nápadem a to znemožnit potenciálnímu útočníkovi zjistit o jakou verzi phpMyAdmina jde. Kromě toho, že samozřejmě pořád bude existovat dostatek starých verzí, které to o sobě řeknou, tak to stejně jenom zavání security by obscurity. Nicméně to ale může útočníkovi trochu zkomplikovat život. Na druhou stranu schování těchto informací je práce navíc a vynutilo by si odstranění textového ChangeLogu.

Co si o tom myslíte vy? Má smysl skrývat jakoukoliv zmínky o tom o jakou verzi se jedná (včetně například ChangeLogu) před nepřihlášeným návštěvníkem?

Objev týdne: Salamandra

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

Ne, ničemu to nepomůže. Tak bude muset místo jednoho exploitu vyzkoušet 10, ale stejně na to nakonec příjde.

21.7.2008 20:44 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Moje reakce byla naprosto stejná ... dokonce i na čísle 10 jsme se shodli .

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

21.7.2008 21:13 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

dokonce i na čísle 10 jsme se shodli .

21.7.2008 20:48 c4i
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

hmm, aspon automaty by to odkoplo. Precejenom potencialni utocnik jde po tom "mene zabezpecenem"...

21.7.2008 21:10 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Neodkoplo... Prostě by jim jeden scan netrval 2 sekundy, ale 20. Naopak by to spíš odstranilo ty script kiddie, kteři si na to neumí napsat skriptík... Protože by se jim nechtělo zkoušet několikero exploitů, ale to je tak všechno a upřímě... ti kteří si neumí napsat bota stejě nebudou vědět co s ukořistěným phpMyadminem dělat

21.7.2008 23:55 Kvakor
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Presne tak - automatizovany skript casto vubec neresi nejakou verzi, proste slepe zkousi jeden exploit po druhem a sleduje jenom vysledek. Svym zpusobem je to rozumejsi reseni - hlasena verze totiz vubec nemusi odpovidat verzi skutecne, obzvlast u tak snadno uzivatelsky upravitelnych nastroju jakoji phpMyadmin, kde je prepsani retezce verze celkem primitivni operace (ve srovnatni s napr. upravenim a prelozenim vlastni verze Apache).

21.7.2008 21:14 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To je docela zajímavé. Ve většině publikací o bezpečnosti se člověk naopak dočte, že skrytí verze je jedním z dobrých a doporučených protiopatření. Ten, kdo bude opravdu chtít, tak to prolouskne, script kiddie, které ale za normálních okolností zjistí verzi, prožene to databází známých chyb a použije předpřipravený exploit, v tomhle případě utře. Je to jako se zabezpečením bytu. Můžeš dát jen alarm. Nebo taky můžeš použít alarm, a k tomu fotobuňku u okna, která rozsvítí světlo při pohybu. Nebo k tomu můžeš přidat venkovní rolády. A co teprve mříže? Nic z toho krádeži stoprocentně nezabrání, kombinace ale dokáže útočníka natolik zdržet, že si to předem rozmyslí. V každém případě máš čas navíc. Základní poučka bezpečnosti zní, že nejlepší obrana je kombinace protiopatření.

21.7.2008 20:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

Čas strávený maskováním by asi bylo lepší věnovat něčemu, co by detekovalo děravou verzi a křičelo na uživatele.

21.7.2008 20:46 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak tyhle úvahy původně vznikly .

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

21.7.2008 20:51 belisarivs | skóre: 22 | blog: Psychobláboly
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

Salamandra zní dost dobře, díky za tip!

Ještě na tom nejsem tak špatně, abych četl Viewegha.

21.7.2008 23:54 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jsem nevěděl, že jsi metalista

Ale jo, nezní to špatně, totiž má to fakt tradiční zvuk. Btw, před tím jsem si z nostalgie pustil Believe od Cher (rok asi 1998), tak to byl trochu šok

22.7.2008 11:20 Ladicek | skóre: 28 | blog: variace | Havlíčkův brod
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nejsem, tohle totiž podle pravověrných metlošů není metal, nýbrž sračka A Believe je taky super.

Ještě na tom nejsem tak špatně, abych četl Viewegha.

22.7.2008 00:11 Martin | skóre: 10 | blog: Nádraží Perdido
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No, úplně zlé to není. Akorát to tu už všechno asi miliónkrát bylo.

22.7.2008 12:20 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Bezpečnost webových aplikací

Odpovědět | Sbalit | Link | Blokovat | Admin

Tyjo... Ze mě se snad ještě stane metalista

Fakt to zní dobře

Amest I bovvered, forsooth?

Založit nové vlákno • Nahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.