Re: Joomla iskolai honlapra
2011.12.06. 18:15 keltezéssel, Gyurman Attila írta: Jól gondolod. SQL injection ellen csak a jó kód tud védeni. Ez az, ami joomla esetében megkérdőjelezhető, mármint a hibátlan kód. Ezt azzal egészíteném ki (majdnem 10 éve használom a rendszert - már az elődjét is), hogy a hibátlan kód nem *csak* a Joomla! esetében kérdőjelezhető meg, hanem *minden* ember által készített kód esetében. Mi másért kellene egyébként rendszeresen biztonsági frissítéseket kiadni *minden* szoftverhez?? üdv -- Dicső Géza ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Joomla iskolai honlapra
Üdv! 2011-12-05 08:52 keltezéssel, Veres Sandor írta: Már egy korábbi hozzászólás (nem tudom ki írta) is majdnem kicsapta nálam a biztosítékot, de most már nem tudom megállni, hogy ne szóljak. Mivel azt írtad, hogy a töréseket robotok végzik, előbb vagy utóbb a robotok bizony rá fognak találni az oldalra, és ha az feltörhető, akkor a robot bizony jelzést fog küldeni a készítőjének, hogy a törés sikerült. Ez tény, ezzel én is egyetértek, viszont szerintem az is tény, hogy egy nevenincstelepülésiskolája.hu domain nevet kicsit később találnak meg (ha egyáltalán megtalálják), mint az index.hu-t. Ezért mondtam, hogy nem mindegy, mennyi népszerű az oldal. Lehet, hogy te csak annyit látsz, hogy egy reklám banner van az oldalon (igen, ennek a kihelyezésével tesztelik, hogy törhető-e az oldal), de utána már komolyabb robotokat engedne rá az oldalra / szerverre. Mert a végső cél nem a weblap feltörése, hanem szerver feletti irányítás megszerzése. Szerencsére ez az, amit még (kopp-kopp-kopp) nem láttam, legalábbis saját szerveren csak php-kkel találkoztam, rootkitekkel még nem. Ettől függetlenül szerintem is ez a legnagyobb veszély. Ha fel tud tölteni egy php-t, onnantól kezdve már shell-je is van, még ha nem is root... Az én szemléletem az, hogy előbb vagy utóbb (de inkább előbb) minden internetre kötött számítógépet, szervert megpróbálnak feltörni. És egy rendszergazda vagy számítógép üzemeltető mindig gyanakvó kell, hogy legyen. Ebben is egyetértünk. Ha valakinek van 22-es porton publikus ssh-ja (gondolom sokaknak van), és belenéz időnként a logokba is, akkor elég szép számú kíserletet láthat belépésekre (fail2ban rulez...). Ugyan így próbálkoznak a weboldalakkal is. A legfontosabb védekezés szerintem, hogy amit csak lehet írásvédetté teszel. A joomla lelki világát nem ismerem, de ha jól gondolom, akkor hasonlóan működik mint a drupal, és akkor az oldalak (vagy azok bizonyos részei) nem a fájlokban tárolódnak, hanem a háttér adatbázisban. És ekkor a fájl írásvédetté tétele nem segít egy sql injection ellen :-( Jól gondolod. SQL injection ellen csak a jó kód tud védeni. Ez az, ami joomla esetében megkérdőjelezhető, mármint a hibátlan kód. Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell, hogy legyen (szerintem). Itt viszont sajnos általában kompromisszumokat kell kötni. Mint ahogy egy iskola tűzfala sem mérhető össze egy nagyválallalti tűzfallal, ugyan úgy szerintem egy iskolai honlap biztonsági kérdése sem azonos egy netbank biztonságos üzemeltetésével. Ettől függetlenül törekedni kell a lehető legbiztonságosabb működésre, de ezen a szinten szerintem sokkal fontosabb, hogy legyen biztonsági mentés, amit egy esetleges feltörés után percek alatt vissza lehet állítani. Az eredeti kérdés az volt, hogy javasoljuk-e a joomlát iskolai honlapnak. - Biztonsági szempontból nem - Azonban felhasználói szemszögből (egyszerű telepítés, kezelés, sok kész template, új tartalmak feltöltése) sokkal jobb, mint ha atombiztos HTML-ben lenne az egész, dinamikus kód és sql nélkül (azt nehéz lenne feltörni :-) ) Szerintem e között a kettő között kell megtalálni az arany középutat, ami lehet akár egy drupal is. Attesz ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Joomla iskolai honlapra
És ennek az egyik módja, hogy joomlát használsz... ;) - Eredeti üzenet - Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell, hogy legyen (szerintem). ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Joomla iskolai honlapra
2011.12.02. 21:26 keltezéssel, Gyurman Attila írta: Van némi nemű szolgáltatói tapasztalatom is a joomlával kapcsolatban. Szeretném leszögezni, hogy nem szeretném megkérdőjelezni a szakmai tapasztalatodat. Elég sok feltört joomlát láttam már, és fórumokon is találni szép számmal törési lehetőségeket, de egy kis látogatottságú oldalra nem fognak rászállni. Már egy korábbi hozzászólás (nem tudom ki írta) is majdnem kicsapta nálam a biztosítékot, de most már nem tudom megállni, hogy ne szóljak. Mivel azt írtad, hogy a töréseket robotok végzik, előbb vagy utóbb a robotok bizony rá fognak találni az oldalra, és ha az feltörhető, akkor a robot bizony jelzést fog küldeni a készítőjének, hogy a törés sikerült. Lehet, hogy te csak annyit látsz, hogy egy reklám banner van az oldalon (igen, ennek a kihelyezésével tesztelik, hogy törhető-e az oldal), de utána már komolyabb robotokat engedne rá az oldalra / szerverre. Mert a végső cél nem a weblap feltörése, hanem szerver feletti irányítás megszerzése. Az én szemléletem az, hogy előbb vagy utóbb (de inkább előbb) minden internetre kötött számítógépet, szervert megpróbálnak feltörni. És egy rendszergazda vagy számítógép üzemeltető mindig gyanakvó kell, hogy legyen. A legfontosabb védekezés szerintem, hogy amit csak lehet írásvédetté teszel. A joomla lelki világát nem ismerem, de ha jól gondolom, akkor hasonlóan működik mint a drupal, és akkor az oldalak (vagy azok bizonyos részei) nem a fájlokban tárolódnak, hanem a háttér adatbázisban. És ekkor a fájl írásvédetté tétele nem segít egy sql injection ellen :-( Tehát a biztonságra való törekvés az egyik legfontosabb szempont kell, hogy legyen (szerintem). Veres Sándor ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Joomla iskolai honlapra
Évek óta (évtizedek?) ezt használjuk... a törhetőség általában a rosszul összeválogatott, nem megfelelő kiegészítők miatt szokott lenni - szerintem az alaprendszer elég stabil és biztonságos (nem beszélve arról, hogy ha nincs rajta semmi, akkor minek feltörni... ;)) Én nem állnék ellen. - Eredeti üzenet - From: Bálint István Sent: Friday, December 02, 2011 8:29 AM To: Techinfo Subject: Joomla iskolai honlapra Felmerült az iskolai honlap átalakítása. Elsősorban a Joomla tetszett meg, de nincs benne tapasztalatom. Kérdéseim: - iskolai honlapot érdemes-e Joomla alapon működtetni? - mennyire biztonságos a Joomla? - egyéb pozitív vagy negatív tapasztalat? (olvastam olyan cikket, amely a könnyen törhető kategóriába sorolta, igaz régebbi verziókra vonatkozott, nem az 1.7.x-re. Köszönettel: Bálint István ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Joomla iskolai honlapra
Üdv! Iskolai honlapnak szerintem tökéletesen megfelel. Még többet is tud mint amire szükség lehet. Én évek óta használom több honlapnál és eddig több a pozitív tapasztalatom mint a negatív. Viszont ha lesznek űrlapok akkor valamilyen biztonsági kódos kiegészítőt mindenképp tegyél fel hozzá! ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Joomla iskolai honlapra
Felmerült az iskolai honlap átalakítása. Elsősorban a Joomla tetszett meg, de nincs benne tapasztalatom. Kérdéseim: - iskolai honlapot érdemes-e Joomla alapon működtetni? - mennyire biztonságos a Joomla? - egyéb pozitív vagy negatív tapasztalat? (olvastam olyan cikket, amely a könnyen törhető kategóriába sorolta, igaz régebbi verziókra vonatkozott, nem az 1.7.x-re. Köszönettel: Bálint István ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/