Защита сайта от взлома и просто воровства скриптов.

[Web-Gangsta]

Доброго времени суток! У меня есть вопросы по поводу защиты своего сайта. Допустим PHP просто не читается при просмотре кода, но ведь можно забить имя файла и скачать, так же и присоединенные JS файлы... Подскажите как можно запретить просмотр/скачиваение присоединяемых файлов... Ну как бы защитить сайт от воровства скрипта... И если возможно, как защитить сайт от взлома и что еще может быть... Просто я не очень в этом просвящен... Помогите пожалуйста по данному вопросу... =)

[vasek123]

По поводу взлома, я могу сказать следующее: старайтесь меньше допускать ошибок при написании Web-сайта- взломщики, обычно, эти ошибки и используют во вред(взять, скажем, написание элементарного эксплойта); регулярно обновляйте и тестируйте сайт на наличие уязвимостей. Думаю что, любой взломщик- обломает зубы, на этом сайте, при соблюдении данных правил.

[Web-Gangsta]

Цитата:

Сообщение от vasek123

По поводу взлома, я могу сказать следующее: старайтесь меньше допускать ошибок при написании Web-сайта- взломщики, обычно, эти ошибки и используют во вред(взять, скажем, написание элементарного эксплойта); регулярно обновляйте и тестируйте сайт на наличие уязвимостей. Думаю что, любой взломщик- обломает зубы, на этом сайте, при соблюдении данных правил.

К примеру, какие ошибки программиста чаще всего помогают хакеру??? Если можно так выразиться... =)

[vasek123]

Советую прочесть какую либо из книг по хакингу- поймете! Для примера: подумайте на досуге- почему, на большинстве сайтов, стоит защита от автоматического подбора и копирования пароля.

[KORN]

проверяй входящие данные регулярными выражениями, фильтруй треги, проверяй типы данных и т.д. php файл у тебя не скачают даже при скачивании т.к. программа скачает только результат работы скрипта... почитай "php глазами хакера" фленова, он рассказывает про некоторые уязвимости и как их устранять... так же многое зависит от настройки сервера...

[Web-Gangsta]

Спасибо... По этой части понятно... А вот допустим: человек реализует на сайте, что-то уникальное, чего еще никто не делал... А другой человек, просмотрев код делает тоже самое... Как 1-му доказать/защитить, что это его идея?..

[KORN]

почитай тут:
http://www.uic.rsu.ru/forum/msg.php?grp_id=2613

и поищи тут:

http://www.google.ru/search?hl=ru&ne...A&lr=&aq=f&oq=

[qpokyc]

Добавлю исчо несколько популярных:
1) Не использовать IFrame
2) Не передавать критические к безопасности параметры в строке адреса и не хранить их в куках (и вообще - чем их меньше, тем лучше)
3) От воровства контента может защитится, обрабатывая свойства родительских элементов в JavaScript, проверяя URL'ы, имена и проч (и выполняя код, который обезображивает страницу своровавшего, или отправляет уведомление тебе). Желательно будет помещать в различных местах и вариациях, чтоб в автоматическом режиме вырезать было проблематично.
4) Следует обратить внимание - куда юзера выбрасывает, когда введеная им адресная строка не содержит адекватного адреса скрипта или страницы.

Наиболее известная дырка, на моей памяти, связана с использованием SQL. Суть объяснять долго (поисчите в сети "SQL-инъекции"), но смысл в том, что содержимое полей, учавствующее в SQL запросе проверять особо тщательно, вплоть до запрета любых символов, кроме букф.

И конечно - контроль длинны. Переполнение буфера (overflow) - самое первое что приходит в голову, когда речь идет об удаленном взломе. Все значения должны строго умещаться в размер выделенных под них переменных и полей БД. Всё лишнее - отрезается.

Естественно, конечный контроль осуществляется на стороне сервера (т.е. серверным скриптом, ибо на клиенте и ламер все проверки отрежет за 5 мин. при желании). Правда, чтобы флеймеры и coolхацкеры не тревожили сервер по пустякам - клиентский скрипт пусть тож фильтрует (а серверный для надежности!).

Во избежание DoS ограничить трафик для одного соединения и ограничить количество соединений для одного IP.

Против ботов - капча.

Против спама (если речь о почтовом сервере) - есть одна индейская хитрость (про нее МышхЪ писал, кстати - его почитай, про безопасность): заводишь подставной ящик с длинным и абсолютно бессмысленным именем, и никто про него не знает. Понятно дело, тот, кто пришлет туда почту - спамер.

Кстати, пытался однажды скачать PHP Download Master'ом (просто руки зачесались). Правду народ говорит - нельзя это сделать , впрочем и так можно было догадаться.

На одну лишь букву закона в сфере IT полагаются тока идиоты, мегакорпорации и федеральные службы. Наберите в гугле "кряк","крэк","crack" или "таблэтка" - в этом вы убедитесь.

У любой защиты есть критерии, хорактеризующие ее, как хорошую защиту. Это:
1) Однородность;
2) Цель взлома не оправдывает средства;
3) исчо несколько...

Защита - дело тонкое.

[Stilet]

Цитата:

какие ошибки программиста чаще всего помогают хакеру?

Только те которые создатель сам допустил )
Не ну серьезно, так не скажеш... Нет абсолютно идеальной защиты.
Вот Василий прав, чтоб писать хорошую защиту - изучи способы взлома.

[qpokyc]

Цитата:

Вот Василий прав, чтоб писать хорошую защиту - изучи способы взлома.

Это одно и тоже)