WEB Scritps

Jeigu programuojate ir norite ko nors paklausti ar pasidalinti patirtimi, darykite tai čia...
User avatar
evil
Posts: 840
Joined: 2009-07-28 22:16
Location: Kaunas
Contact:

2010-06-15 11:36

BackBrain wrote:Galima placiau apie sauguma:
Kas tureta tiksliai tureta omenyje, cia siuo atveju mano zinios nulines.
1 Linux like serverio impact surface'as, atviri portai ir socket, daug potencialiai bugovo softo (firewall ji turetu sumazinti ?)
2 Pacios programines irangos httpd, kaip front end pazeidziamumas (firewall'u neuzdengsi, kiek galima daznesni update ?)
3 PHP kodo "arhitektura", paliktos spragos kodo/SQL injection galimybes (naudojant zend framework arba code igniter nepavyktu sumazinti)
1. Tai galioja bet kuriam linux serveriui su ar be front endo. Nebaisu :)
2. Viena is problemų. Jei darant kuo lengviau tenka suteikti root teises lighttpd ar apache useriui. Kas yra labai negerai. Kitas variantas - nesuteikti teisių ir leisti tik rašyti į duomenų bazę ar skriptus ir žaisti su crontabu arba papildomu ne web softu, kuris realiai atlieka vykdomuosius darbus. Tai sumažina pažeidžiamumą.
3. Pagrindinė problema. Nebūtinai kenkėjiško kodo įterpimas, bet tiesiog reikia numatyti krūvas scenarijų, kad neprimalti nesamonių dėl vartotojo netyčinių klaidų. Ypač aktualu kuomet atliekamas kompleksinis pakeitimas ir pvz vartotojas kažką ne taip įveda, dėl to pirma pakeitimo dalis įvykdoma, o antra ne. Tokiu atveju reikalingas automatinis veiksmų "rollup'as", nes nutinka nenumatyti atvejai. Mačiau tokių sistemų kur per neapgalvojimą administratoriui labai nesunkiai atimamos teises, kuomet jis bando pasikeisti slaptažodį :) Ir t.t.

User avatar
BackBrain
Posts: 1404
Joined: 2007-02-26 18:29
Location: Vilnius
Contact:

2010-06-15 19:22

O aciu, gudrai su cia su ExecutionDedicating to InnerCircle :D .
Ka gali apie CGI pasakyti, as kaip supratau tai jis paleidineja ServerSide scriptus, jei palikti skyle tai programisiu gauna kazka panasaus i RemoteScriptingShell ???

User avatar
evil
Posts: 840
Joined: 2009-07-28 22:16
Location: Kaunas
Contact:

2010-06-15 20:14

BackBrain wrote:O aciu, gudrai su cia su ExecutionDedicating to InnerCircle :D .
Ka gali apie CGI pasakyti, as kaip supratau tai jis paleidineja ServerSide scriptus, jei palikti skyle tai programisiu gauna kazka panasaus i RemoteScriptingShell ???
Nežinau, neesu nei programeris, nei linuxistas. Įsilaužimams yra milijonai variantų, apie CGI nieko nemasčiau, kažkaip nekliuvo. scriptus paleidinėja komanda įrašyta php kode. O kaip tas php toliau interpretuojama nežinau ar per CGI ar be CGI tikrai nežinau.

Jei eit tuo sudėtingu keliu tuomet realiai tik visas apache su php, CGI ir kitais velniais tik įkėlinėja duomenis į DB tam tikra forma. Tuo tarpu kita aplikacija parašyta kad ir su c++ su užprogramuotais algoritmais pasiiminėja duomenis iš DB ir pagal juos generuoja scriptus ir executina. Čia jau sudėtinga kažkokį šlamštą paduot - DB duomenys laikomi labai tiksliai pagal apibrėžtą formatą. Aišku jei išlauži DB tuomet prieini prie visko, bet vėlgi nežinodamas kaip veikia ta su C++ sukompiliuota programa nelabai ir suprasi ką kur toj DB padėti. Nu čia jau ganėtinai paranojiškas sprendimas.

Realiai naudojamos webinės aplikacijos tiek nesaugomos, kai kurios net absurdiškai nesaugios. Keletas matytų dirba su elemtariu crontabu ir niekas nepergyvena dėl saugumo. Kiek teko susidurt su linux apache serverių įsilaužimu tai visais atvejais įsilaužta su trojanais pavogus passwordus :)

User avatar
rKr
Posts: 1150
Joined: 2004-12-28 17:05
Location: Raudondvaris-Vilnius
Contact:

2010-06-16 08:14

UPSo valdymo programos progress: susirenka visus USB yrenginius ir nustato kuris is ju yra UPSas.

Dabar tiek, o sy savaitgaly, jei bus laiko sukursiu projekto tema.

User avatar
BackBrain
Posts: 1404
Joined: 2007-02-26 18:29
Location: Vilnius
Contact:

2010-06-16 08:48

rkr wrote:UPSo valdymo programos progress: susirenka visus USB yrenginius ir nustato kuris is ju yra UPSas.
Dabar tiek, o sy savaitgaly, jei bus laiko sukursiu projekto tema.
Laukiam, as dabar sedziu mastau kaip tokius grafikus isvedineti i WEB
Image

User avatar
X-log
Posts: 526
Joined: 2005-08-13 00:35
Location: Vilnius, Pasilai
Contact:

2010-06-16 10:21

BackBrain-> JpGraph, FusionCharts ir t.t. biblioteku pilna prikurta.

User avatar
mONo
Posts: 171
Joined: 2005-05-01 15:10
Location: Vilnius
Contact:

2010-06-19 12:26

BackBrain wrote:Laukiam, as dabar sedziu mastau kaip tokius grafikus isvedineti i WEB
Image
Truputi yra teke webe grafikais užsiimt. Kaip matau iš nuotraukos duomenys atnaujinami kelis kart paroje. Patarimas nežinau kiek vertingas, bet siūlau duomenis talpint sql duombazėje, o vizualiai į webą iš jos išvesti minimaliom php žiniom ir šio GNU softo pagalba: http://teethgrinder.co.uk/open-flash-chart-2/

User avatar
BackBrain
Posts: 1404
Joined: 2007-02-26 18:29
Location: Vilnius
Contact:

2010-06-19 14:04

Aciu uz patarimus bet as jau apsisprendziau duomenis desim i mysql db (round robin db + resamling db).
Grafikus generuos softas, darys %date%.png, o tada tuos png paimines php.
Na bent pirmos mintys tokios.

Post Reply
  • Information
  • Who is online

    Users browsing this forum: Yahoo [Bot] and 1 guest