Portál AbcLinuxu, 10. května 2025 11:38
Zprava je zasifrovana pomoci prijemcova gpg klice a jedine on ji muze rozlustit. Je to v principu spravne, ze?<html>
<body>
<form action="index.php">
Zadej heslo cislo 1.: <input type="text" name="firstheslo"><br />
</form>
<?PHP
$FIRSTHESLO="heslo1";
$myFile = "logfile.txt";
$fh = fopen($myFile, 'a') or die("can't open file");
$stringData = date("Y/m/d h:m:s")." Access to index.php from ".$_SERVER['REMOTE_ADDR']."! FirstHeslo was: ".$_GET['firstheslo']."!\n";
fwrite($fh, $stringData);
fclose($fh);
if ($_GET['firstheslo'] == $FIRSTHESLO) {
print "<br />\n";
print "Ziskani hesla bylo zalogovano!\n";
print "<br />\n";
print "
<pre>
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.10 (GNU/Linux)
xFANwkNs/9o1RLw5h/gi6ZC6KqR1sIq9P6zOgYmsG7QvalFNm8IYvD42P+tRpGp1
vELIy4CLXGhVodavFN+/lRZNPbqhEACdyjltw7rQ+KbDmWaD2fj9Tch/QW6rOBMF
=tkSF
-----END PGP MESSAGE-----
</pre>";
mail("mail@domain.tld", "Ziskani rootovskeho hesla!", "Zasifrovane heslo bylo poslano...");
}
?>
</body>
</html>
11.8.2010 10:31
$FIRSTHESLO="heslo1";). Heslo je pořád stejné (je napsané v PHP skriptu), takže stačilo by tlačítko "Poslat heslo", ne?
$promenna není totéž, co $PROMENNA. Jinde ale ne, např. v názvech funkcí - funkce() a FUNKCE() jsou ekvivalentní.
$FIRSTHESLO. At se to neplete s $firstheslo. Treba $SpravnePrvniHeslo 
$A, $B... Kdyz uz by se tam nekdo nejak dostal, tak at ho aspon neprasti do oci to "heslo" v nazvech promennych.
11.8.2010 11:06
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Napada me jednoducha vec - umistit hesla do textaku na webserver, rici uzivatelum kde jsou a ze tam smeji jen za urcitych podminek a po prijezdu zkontrolovat logy.
Toto by šlo. A po příjezdu změnit hesla roota. A pokud jsi hodně paranoidní, tak před odjezdem "zaevidovat" celý systém (checksumy souborů, třeba aide) a po příjezdu to zkontrolovat.
Kontrolovat logy na serveru, kde má někdo roota je takové bezpředmětné. Když má roota, tak ty záznamy může vymazat.
11.8.2010 11:07
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
A především by se mělo urychleně vyřešit toto:
Bohuzel nemam za sebe nahradu, ktera by se o ne v pripade problemu postarala pokud by se neco stalo
a to nejen pro případ dovolené či nemoci.
11.8.2010 12:48
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Vy byste dali roota 'jen tak nekomu'?
To trochu záleží kam a komu. Sám mám (nebo jsem měl) roota na mnoho i důležitých produkčních systémů, ale tam to byla vzájemná důvěra. Jsou systému, kam nedám roota nikomu a také ty, kde to má kde kdo. To je potřeba zvážit. Pokud jde jen o provoz nějakého webserveru (kde jsou už z principu všechna data veřejná), tak s tím bych si starosti nedělal. To umí opravit kde kdo a riziko ztráty dat je téměř nulové.
Bohuzel ted nikoho nemam. Co s tim?Nikam nejezdit.
11.8.2010 15:12
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
11.8.2010 15:34
otasomil | skóre: 39
| blog: puppylinux
Login zaslat az na pozadani mailem a nebo telefonicky ci formou SMS a mate to zcela bez prace.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
11.8.2010 17:44
11.8.2010 20:00
11.8.2010 19:40
11.8.2010 15:40
