2011/1/23 Nguyễn Hữu Thành <[email protected]>: > Vô ích, > và sai địa chỉ. > > Rất tiếc.
Xin lỗi bác, em ném đá vội quá, không kỹ là câu hỏi của bác không dựa vào ý của bạn fanlong74, đọc nửa đêm không tỉnh táo lắm. Trở lại câu hỏi đầu của bác. Việc DoS thì có liên can gì đến vụ phần mềm (CMS) có an toàn hay không, và việc CMS an toàn thì có liên quan đến nó có mở hay không, và việc phần mềm CMS an toàn thì có liên quan đến yêu cầu của nhà mạng (hosting provider) hay không? - Việc DoS đã được phân tích khá kỹ ở trên là không liên quan đến phần mềm an toàn hay không. - Việc CMS an toàn thì có liên quan đến nó có mở hay không? Như em được biết thường là những người làm phần mềm nguồn đóng dựa vào tính chất đóng của nó làm một lý do để ít quan tâm đến độ an toàn của nó hơn là ngược lại. - Nhà cung cấp dịch vụ hosting hoàn toàn có thể giữ được cho một trang web bị xâm nhập khỏi ``lây'' sang tài khoản khác (protection/isolation). Không có lý do gì để một nhà cung cấp dịch vụ ``cấm'' khách hàng cài một bộ chương trình CMS/forum piece-of-crap để chạy trên account của họ. Nếu vì tài khoản của họ (vì phần mềm chất lượng kém) bị xâm nhập và từ đó tấn công cả tài khoản khác hay ``ăn'' hết tài nguyên của máy chủ mà người quản lý server không thể kiểm soát thì có lẽ là vấn đề là ở server administrator nhiều hơn là webmaster. Điều thú vị là thường với kinh nghiệm của em cho thấy điều này trên thực tế ngược lại những ``ý kiến'' về hệ thống đóng và mở: Thường là các hệ thống đóng như IIS thì khâu isolation khá kém một khi một tài khoản bị xâm nhập. Với các hệ thống như LAMP, một người server administrator hơi có kinh nghiệm là đã có thể quản lý được quota, và set đúng permission cho các home directory để isolate tài khoản nếu nó có vấn đề. Với hệ thống IIS (em chỉ có kinh nghiệm tới bản 6 chạy trên Win 2K3), thì nhiều khi cứ ``chui'' được vào một tài khoản rồi tung lên một cái directory listing script tự viết bằng asp là hầu như sẽ rất dễ dàng ``thăm thú'' lung tung... tất cả các files của các tài khoản lưu trên server đó (hình như các webserver IIS thường chỉ được cấu hình để chạy với danh nghĩa cùng một user thì phải -- không chắc lắm!). Ít ra điều đó đã đúng thời 2005-2006 khi em còn có thời gian nghịch ngợm các tài khoản trên shared hosting của PAVietnam, Nhân Hoà (hai ông lớn lúc bấy giờ) và của một số các nhà cung cấp ngoài nước nữa. Linux thì việc đó 99% là bị giới hạn ở tài khoản bị ảnh hưởng. -- Sent from my Lunix. _______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
