Новая тема   Ответить

 MisterBlack
Поставил себе TradePulse, но почему то на всех файлах права 777, как то это небезопасно, это так и должно быть?

 newuser76
не должно, всегда при установке выставлялись более строгие права.
сказал бы что не в установщике дело, но сегодня целый день сайт пульса вообще не открывается, как и форум. может опять его поламали

 MisterBlack
У меня и сайт и форум открывается, вот что мне там удалось найти по этому вопросу: forum.scriptpulse.com/index.php/topic,1461.msg5610.html#msg5610
They must be 777 otherwise script cant work since we use flat files for databases.

получается что так и должно быть.

 Wowa
777 права следует опасаться из-за дружественного взлома. то есть ломает другой сайт (но на этом же сервере) и получают возможность прописать/посмотреть/удалить файлы помеченные 777.
Для того чтобы это избежать, процесс должен выполняться от имени владельца домена (user01, etc). обычно же настроен один пользователь для всех процессов - apache

 Stek
Да у всех скриптов, которые ставятся через инсталл скрипт в браузере , будут такие косяки с правами. Там иначе не выйдет.

 newuser76
потер.

Последний раз редактировалось: newuser76 (28/05/12 в 22:59), всего редактировалось 1 раз

 newuser76
только что поставил пульс - везде права 777 стали автоматом(кроме data -775 и variables.php - 666). бред какой-то, или внимание просто на это давно не обращал.

 Woland
Stek писал:
А чё у меня кристал и дтр встаёт с 777 только там, где надо, а остальное от 666 до 755 ?

 Stek
Woland писал:
777 - всем запись на директорию
666 - всем запись на файл

Вообще пофигу на циферки прав. Смысл в том, что если скрипт устанавливался через инсталлятор в браузере , т.е. закачивался и потом апдейтится из админки, то вэб сервер имеет доступ к этим файлам. И соответственно любой троян сможет дописать в них свой код.

А у некоторых хостеров вообще настроено так, что скрипты запускаются под именем юзера и автоматом имеют полный доступ ко всем файлам в своей вэб директории. Им типа так секьюрней кажется

 Wowa
Stek писал:
не кажется, а так и есть.

Допустим есть сайт example1.com (пользователь user01) и example2.com (user02).
Хакер очень сильно заинтересован сайтом example1.com, так как на нем стоит биллинг. Но взломать его не может, ибо все очень секьюрно и по уму сделано. Тогда он ищет "дружественный" сайт, то есть сайт на этом же сервере и находит example2.com, который имеет херову кучу дыр. Дальше есть два сценария:
1. httpd работает от apache - пишем куда хотим
2. httpd работает от юзера - получаем фигу и довольствуемся только сайтом example2.com

 Stek
Wowa писал:

Допустим поставили дырявый плагин в вордпресс. Благодаря такой мега секьюрной настройке, через эту дырку можно изменить любой файл на аккаунте. И вместо поломанной директории вордпресса, мы получаем полностью поломанный аккаунт.

Цитата:
Давно не видел виртуалов, но даже лет 5 назад уже были решения данного вопроса, при том без запуска апача под правами юзера.

 Woland
Stek: А виртуалы с биллингами у соседа ты давно видел ?
Согласен, пример Wowa попахивает босоногим детством скрипт-кидиса

 MisterBlack
а где в трейдпульсе стата по ip?
что то не нахожу

 Дольчик ххх
Привет! Скажите а где нибудь в скрипте можно почистить кэш?! Скрипт сам работает нормально, а вот в мульти админка собирает статистику либо долго либо не всю, и так раз через раз..

 Wowa
Woland писал:
Я бы выразился незнанием, автора скрипта, работы веб-сервера.