|
|
Регистрация Восстановить пароль |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
22.04.2009, 21:09 | #1 |
HTML, JS, CSS, PHP
Форумчанин
Регистрация: 20.04.2009
Сообщений: 233
|
Защита сайта от взлома и просто воровства скриптов.
Доброго времени суток! У меня есть вопросы по поводу защиты своего сайта. Допустим PHP просто не читается при просмотре кода, но ведь можно забить имя файла и скачать, так же и присоединенные JS файлы... Подскажите как можно запретить просмотр/скачиваение присоединяемых файлов... Ну как бы защитить сайт от воровства скрипта... И если возможно, как защитить сайт от взлома и что еще может быть... Просто я не очень в этом просвящен... Помогите пожалуйста по данному вопросу... =)
[ Вот здесь должен был быть мой юзербар... Но... ]
|
23.04.2009, 00:13 | #2 |
Заблокирован
Регистрация: 21.11.2008
Сообщений: 4,986
|
По поводу взлома, я могу сказать следующее: старайтесь меньше допускать ошибок при написании Web-сайта- взломщики, обычно, эти ошибки и используют во вред(взять, скажем, написание элементарного эксплойта); регулярно обновляйте и тестируйте сайт на наличие уязвимостей. Думаю что, любой взломщик- обломает зубы, на этом сайте, при соблюдении данных правил.
|
23.04.2009, 01:00 | #3 | |
HTML, JS, CSS, PHP
Форумчанин
Регистрация: 20.04.2009
Сообщений: 233
|
Цитата:
[ Вот здесь должен был быть мой юзербар... Но... ]
|
|
23.04.2009, 01:25 | #4 |
Заблокирован
Регистрация: 21.11.2008
Сообщений: 4,986
|
Советую прочесть какую либо из книг по хакингу- поймете! Для примера: подумайте на досуге- почему, на большинстве сайтов, стоит защита от автоматического подбора и копирования пароля.
Последний раз редактировалось vasek123; 23.04.2009 в 01:32. |
23.04.2009, 04:10 | #5 |
Банхаммер
Участник клуба
Регистрация: 17.02.2007
Сообщений: 1,754
|
проверяй входящие данные регулярными выражениями, фильтруй треги, проверяй типы данных и т.д. php файл у тебя не скачают даже при скачивании т.к. программа скачает только результат работы скрипта... почитай "php глазами хакера" фленова, он рассказывает про некоторые уязвимости и как их устранять... так же многое зависит от настройки сервера...
|
26.04.2009, 22:02 | #6 |
HTML, JS, CSS, PHP
Форумчанин
Регистрация: 20.04.2009
Сообщений: 233
|
Спасибо... По этой части понятно... А вот допустим: человек реализует на сайте, что-то уникальное, чего еще никто не делал... А другой человек, просмотрев код делает тоже самое... Как 1-му доказать/защитить, что это его идея?..
[ Вот здесь должен был быть мой юзербар... Но... ]
|
27.04.2009, 04:26 | #7 |
Банхаммер
Участник клуба
Регистрация: 17.02.2007
Сообщений: 1,754
|
почитай тут:
http://www.uic.rsu.ru/forum/msg.php?grp_id=2613 и поищи тут: http://www.google.ru/search?hl=ru&ne...A&lr=&aq=f&oq= |
27.04.2009, 10:26 | #8 |
Форумчанин
Регистрация: 07.04.2009
Сообщений: 117
|
Добавлю исчо несколько популярных:
1) Не использовать IFrame 2) Не передавать критические к безопасности параметры в строке адреса и не хранить их в куках (и вообще - чем их меньше, тем лучше) 3) От воровства контента может защитится, обрабатывая свойства родительских элементов в JavaScript, проверяя URL'ы, имена и проч (и выполняя код, который обезображивает страницу своровавшего, или отправляет уведомление тебе). Желательно будет помещать в различных местах и вариациях, чтоб в автоматическом режиме вырезать было проблематично. 4) Следует обратить внимание - куда юзера выбрасывает, когда введеная им адресная строка не содержит адекватного адреса скрипта или страницы. Наиболее известная дырка, на моей памяти, связана с использованием SQL. Суть объяснять долго (поисчите в сети "SQL-инъекции"), но смысл в том, что содержимое полей, учавствующее в SQL запросе проверять особо тщательно, вплоть до запрета любых символов, кроме букф. И конечно - контроль длинны. Переполнение буфера (overflow) - самое первое что приходит в голову, когда речь идет об удаленном взломе. Все значения должны строго умещаться в размер выделенных под них переменных и полей БД. Всё лишнее - отрезается. Естественно, конечный контроль осуществляется на стороне сервера (т.е. серверным скриптом, ибо на клиенте и ламер все проверки отрежет за 5 мин. при желании). Правда, чтобы флеймеры и coolхацкеры не тревожили сервер по пустякам - клиентский скрипт пусть тож фильтрует (а серверный для надежности!). Во избежание DoS ограничить трафик для одного соединения и ограничить количество соединений для одного IP. Против ботов - капча. Против спама (если речь о почтовом сервере) - есть одна индейская хитрость (про нее МышхЪ писал, кстати - его почитай, про безопасность): заводишь подставной ящик с длинным и абсолютно бессмысленным именем, и никто про него не знает. Понятно дело, тот, кто пришлет туда почту - спамер. Кстати, пытался однажды скачать PHP Download Master'ом (просто руки зачесались). Правду народ говорит - нельзя это сделать , впрочем и так можно было догадаться. На одну лишь букву закона в сфере IT полагаются тока идиоты, мегакорпорации и федеральные службы. Наберите в гугле "кряк","крэк","crack" или "таблэтка" - в этом вы убедитесь. У любой защиты есть критерии, хорактеризующие ее, как хорошую защиту. Это: 1) Однородность; 2) Цель взлома не оправдывает средства; 3) исчо несколько... Защита - дело тонкое.
Copyright © qpokyc (qpy[the dog]bk.ru), 2008-2009 г.
Последний раз редактировалось qpokyc; 27.04.2009 в 10:50. |
27.04.2009, 10:45 | #9 | |
Белик Виталий :)
Старожил
Регистрация: 23.07.2007
Сообщений: 57,097
|
Цитата:
Не ну серьезно, так не скажеш... Нет абсолютно идеальной защиты. Вот Василий прав, чтоб писать хорошую защиту - изучи способы взлома.
I'm learning to live...
|
|
27.04.2009, 11:01 | #10 | |
Форумчанин
Регистрация: 07.04.2009
Сообщений: 117
|
Цитата:
Copyright © qpokyc (qpy[the dog]bk.ru), 2008-2009 г.
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
проверка пароля, защита от взлома | ben95 | Общие вопросы Delphi | 9 | 05.03.2009 09:10 |
поддомены 3 го уровня или просто раздел сайта. | Izhic | Свободное общение | 9 | 22.01.2009 19:05 |
Требуется специалист для создания сайта со строгой аутентификацией или зашифрованного сайта. | artembar | Фриланс | 1 | 01.09.2008 16:11 |
Проблема с выполнением скриптов в IE | rom@nыч | JavaScript, Ajax | 7 | 17.08.2008 18:56 |