abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Terminál, TTY a shell
    včera 23:55 | Zajímavý článek

    Uroš Popović v krátkém článku vysvětluje, co jsou emulátor terminálu, TTY a shell a jaké jsou mezi nimi rozdíly. Jde o první díl seriálu na jeho novém webu Linux Field Guide věnovaném nízkoúrovňové práci s linuxovými systémy.

    |🇵🇸 | Komentářů: 0
    Debian 13.5 a 12.14
    16.5. 22:33 | Nová verze

    Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 0
    CiviCRM 6.14.0
    15.5. 12:55 | Nová verze

    CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.

    jardaIT | Komentářů: 3
    Zranitelnost ssh-keysign-pwn
    15.5. 12:22 | Bezpečnostní upozornění

    Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].

    Ladislav Hagara | Komentářů: 1
    Singularity, nejnovější otevřený film od Blender Studia
    14.5. 17:22 | Komunita

    Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

    Ladislav Hagara | Komentářů: 12
    Vyšla hra Život Není Krásný: Poslední Exekuce
    14.5. 16:55 | Zajímavý software

    Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

    Ladislav Hagara | Komentářů: 27
    Fedora Hummingbird Linux
    14.5. 14:00 | Zajímavý projekt

    Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

    Pinhead | Komentářů: 6
    Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních
    14.5. 02:22 | Zajímavý software

    Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

    Ladislav Hagara | Komentářů: 0
    Erlang/OTP 29.0
    14.5. 01:11 | Nová verze

    Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Zranitelnost Fragnesia
    13.5. 21:22 | Bezpečnostní upozornění

    Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (15%)
     (26%)
    Celkem 1646 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Programovací poradna / Jak ošetřit provházení webu na který nevedou odkazy
    Štítky: není přiřazen žádný štítek

    Dotaz: Jak ošetřit provházení webu na který nevedou odkazy

    12.8.2013 11:31 Já
    Jak ošetřit provházení webu na který nevedou odkazy
    Přečteno: 592×
    Ahoj. Poradil by někdo řešení, jak se děla to, že když user leze kam nemá, třeba prochází strukturu webu na kterou nevedou odkazy a zadá www.blabla.bla/bla/blabla.php? Jak udělám jednoduše nějakou akci, abych nemusel do každého souboru psát celou ochranu? Díky

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    12.8.2013 12:18 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    V souborech PHP jsou přece jen třídy. Ty ochranu nepotřebují, protože se při přístupu jenom přeloží a nic víc.
    12.8.2013 13:09 Já
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Ty jo, to jsou ale rady...
    Řešení 1× (=^..^= AmigaPower®)
    12.8.2013 13:21 potato
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Tak to ale je. Mít ve veřejně dostupných adresářích pomocné PHP soubory, které něco vykonají, je fatální pitomost. Takže (1) mají obsahovat pouze definice/třídy (2) mají být v jiném adresáři, který vůbec není namapován na URL, nebo alespoň v adresáři, který lze celý znepřístupnit pomocí .htaccess. Nikdo ti nebrání dělat to složitě, ale chtěls vědět, jak se to dělá jednoduše...
    12.8.2013 15:04 Já
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    který vůbec není namapován na URL
    Co tím je přesně myšleno?
    12.8.2013 15:40 potato
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Webserver zpřístupňuje pouze některé adresáře v souborovém systému, což je snad jasné. Přiřazení mezi adresáři a URL je definováno pomocí direktiv DocumentRoot, Alias, ... Viz dokumentaci Apache:

    http://httpd.apache.org/docs/2.4/urlmapping.html

    Adresáře s pomocnými soubory, které nemají být samy o sobě veřejně přístupné, nemají důvod, aby se jim vůbec nějaké věřejné URL přiřazovalo. Stačí, aby je mohl číst (zapisovat do nich, ...) uživatel, pod kterým web server běží, ale mohou být mimo DocumentRoot (resp. další adresáře namapované na URL).
    12.8.2013 15:47 Já
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Tak že když mám

    DocumentRoot /var/www/prace1/www

    tak dám do /var/www/prace1/www index.php a style.css a všechno ostatní dám o úroveň néž? Čili do adresář /var/www/prace1 ?

    Chápu tvou myšlenku dobře? Díky
    12.8.2013 17:03 potato
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Tak nějak, nicméně podle toho, co přesně je to všechno ostatní. Pokud nějaké soubory web server servíruje přímo (obrázky, jánevímco), tak samozřejmě potřebují URL.
    pavlix avatar 12.8.2013 22:04 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Mít ve veřejně dostupných adresářích pomocné PHP soubory, které něco vykonají, je fatální pitomost.
    Tak čistě mezi námi, pokud se jedná o web a ne o haldu CGI skriptů, tak je pitomost mít v cestě vůbec nějaké PHP soubory. Do toho, zda je web napsaný v PHP nebo Abrakadabra uživatelům nic není a to, že to vidí na první pohled je pro ně zcela nadbytečná informace.

    Že se PHP historicky používalo jako halda CGI skriptů a že se v tom začaly psát větší webové aplikace a ještě se obojí zkombinovalo je jen shoda blbých náhod.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    12.8.2013 23:33 potato
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    To je požadavek na udržitelnost, a jako každý požadavek něco stojí. Přitom u jednorázových polostatických webů je to nesmyslný požadavek. Nebudou se vyvíjet, natož přepisovat do jiné technologie. Kdyby náhodou ano, tak se budou dělat znovu, jinak a zachování URL nikoho nebude zajímat.
    pavlix avatar 13.8.2013 08:48 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Čteš mezi řádky něco, co tam nebylo.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.8.2013 13:06 potato
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Možná. Prostě jestli URL mají koncovku .html, .php nebo .abrakadabra, je v řadě případů jedno. Jakákoli strktura URL (včetně hezkých, neutrálních) něco vypovídá o použitých prostředcích. Otázka pouze je, kdy to vadí.
    pavlix avatar 13.8.2013 15:15 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Uznávám, že jsem v tomhle trochu perfekcionista. Ale na druhou stranu to, jestli web na venek působí jako web nebo halda .php souborů o provozovateli a tvůrcích něco málo vypovídá.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    12.8.2013 14:57 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Pominuli správné rady výše, zůstávají mi dva artefakty.
    1. Každý ne přímo dostupný soubor má na začátku (akce je exit() ):
      if((!isset($glb_import))||($glb_import != 78951245)) exit();
      , pokud není register_globals on, tak je to poslední stupeň ochrany.
    2. Každý nedostupný adresář obsahuje index.html a index.php.
    Jsou to jen dodatečné prvky, základem je ošetřit nastavením webserveru nebo|a pomocí například .htaccess kam se může.
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    13.8.2013 10:05 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Bod 1. se mi jeví jako zbytečný a nic neřešící. Jen přidává k aplikaci kód, který nevykonává nic užitečného a pouze zatěžuje programátora.

    Bod 2. se obvykle také nemusí řešit, pokud je správně nastaven .htaccess v kořeni webu.
    13.8.2013 11:14 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    V první řadě je si nastavit správně server (konfigurace && / || .htaccess && / || mod_rewrite).
    Uvedené věci jsou historické artefakty (dnes snad už žádný webhosting bez podpory .htaccess není).

    Bod 1. Nedovolí nic vykonat klientem (a nedovolí include-ovat), pokud neznáš vstupní kód. Zatížení programátora je to jen v tom, že si to musíš hodit do šablony (to je zadarmo) a někde na začátku před použitím definovat variablu s pin-em (to je jen několik případů, nebo dokonce jen jeden. Je to hromadně měnitelné i odstranitelné, tak bych to tak černě neviděl.

    Bod 2. Nic to nestojí a někam to přeneseš a náhodou není povolen .htaccess, tak to klade aspoň překážku adresář vylistovat při obvyklém nastavení web serveru.

    PS: Některé distribuce mají default konfiguraci bez možnosti overwrite a .htaccess se neuplatňuje, a když pro to můžu něco, byť obskurně udělat, proč ne…

    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    13.8.2013 11:46 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Bod 1. Zatížení programátora jsem měl na mysli spíš po estetické stránce. Proč bych se měl při každém otevření skriptu editorem koukat na takovou hrůzu?

    Pokud vím, .htaccess má jen Apache. Na lokálu používám jako server samotné PHP, u kterého .htaccess nefunguje - také u něj nehledám zabezpečení. Nginx má také jinou konfiguraci, o IIS nemluvě. Samozřejmě je vždy nutné si tyto informace zjistit předem.

    Všechny skripty na webserveru (kromě index.php) mám udělány jako samostatné třídy. Žádný jiný kód v nich nemám. Jediným vstupním bodem do aplikace je index.php - zabezpečení webu tedy není roztříštěno po celé aplikaci.

    Zajistit indexem má podle mne smysl adresář s obrázky, texty a multimédii, ale obvykle stačí zakázat (nepovolit) výpis adresáře. Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.
    13.8.2013 12:18 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Proč bych se měl při každém otevření skriptu editorem koukat na takovou hrůzu?
    Však se nedívej, nebo si ji přepiš hezčeji, nebo… ;)
    Samozřejmě je vždy nutné si tyto informace zjistit předem.
    Ne každý to udělá s různých důvodů, a je na tvůrci, jestli přidá nějaké další prvky.
    Všechny skripty na webserveru (kromě index.php) mám udělány jako samostatné třídy. Žádný jiný kód v nich nemám.
    Ty ne, ale dotaz zněl jinak.
    Jediným vstupním bodem do aplikace je index.php - zabezpečení webu tedy není roztříštěno po celé aplikaci.
    Vidíš, takže obstrukce se zapíše jen jednou. …já jich mám obvykle několik málo ks víc než jeden.

    Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.
    Ha, to je ale velmi podobný princip obstrukce (čisté je: explicitně nedovolit daný soubor či adresář).
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    13.8.2013 12:43 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.
    Ha, to je ale velmi podobný princip obstrukce (čisté je: explicitně nedovolit daný soubor či adresář).
    Ha, nachytal jsi mě. V tomhle případě někdy používám kšandy a/nebo pásek. Některé databáze (read-only) dávám do kořene a jejich název začíná '.ht'. Databáze R/W dávám do samostatného adresáře kvůli detailnímu nastavení práv. Přístup do tohoto adresáře pak v .htaccess samozřejmě nepovolím.

    Vždycky se snažím tyto mechanismy dělat co nejjednodušší, abych si v nich neudělal díru do systému. Jednodušší systém se udržuje mnohem lépe.

    Někdy ještě dělávám do dalšího adresáře honeypot, povolím ho v .htaccess a zakážu do něj přístup přes robots.txt. To se pak člověk dozví věcí :-)
    13.8.2013 15:12 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    On ten robots.txt zrovna zákaz ve smyslu zabezpečení zrovna není ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    pavlix avatar 13.8.2013 15:42 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Vzhledem k tomu, že Kit psal toho přesný opak ;)...
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.8.2013 16:48 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Inu bylo toho víc něž věty jednoduché… ;)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    13.8.2013 15:48 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    robots.txt používám na sledování neposlušných robotů, kteří lezou i tam, kam nemají.
    pavlix avatar 13.8.2013 12:51 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    +1
    Databázi je dobré u Apache zajistit '.ht' na začátku jejího názvu - nedá se pak stáhnout.
    Tak ideální je ji dostat mimo dosah, že, protože .ht je hack specifický pro Apache.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.8.2013 12:55 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Samozřejmě, ale třeba u freehostingu to obvykle jinak nejde.
    pavlix avatar 13.8.2013 15:36 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Tahle statistická úvaha [co obvykle u freehostingu platí] je lichá snad na všechny strany.

    1) Placené hostingy a freehostingy se v tomto statisticky nijak neliší.

    2) Pokud si hosting nevybírám, je mi nějaká statistika k prdu.

    3) Pokud si hosting vybírám, tak mě nezajímá statistický podíl této vlastnosti na trhu, ale její absolutní dostupnost (v kombinaci s dalšími).

    4) Celý trik s .ht je zajímavý pouze pro hostování nad Apachem bez .htaccess, popřípadě jiným webserverem, který .ht pro jistotu blokuje.

    Je otázka, zda pak není vhodnější dostupnost onoho souboru testovat při instalaci (a konfiguraci) než spoléhat na nějaký statisticky relativně neúspěšný hack a nechat administrátora, ať v případě non-Apache/non-htaccess instalace soubor zajistí jinak.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    13.8.2013 15:42 Kit
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Absolutní dostupnost u freehostingu mě vůbec nezajímá. Na toho admina se v takových případech klidně spolehnu.
    pavlix avatar 13.8.2013 16:07 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Jak ošetřit provházení webu na který nevedou odkazy
    Nevím jestli jsem tu větu napsal příliš nesrozumitelně nebo je mi naopak nesrozumitelná tvá odpověď. Měl jsem namysli to, že pokud si hosting můžu vybrat, tak mě nezajímá, zda 90% hostingů na trhu má nebo nemá vlastnost X, ať už je to kterákoli. Tak jako tak ostatní body jsou pořád platné.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.