Wat heeft coderen voor nut?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2

Eddy E

Eddy E

25/08/2012 10:36:33
Quote Anchor link
Als iemand op de FTP kan binnenkomen maakt het niet meer uit waar je wachtwoorden staan. Dan kunnen ze toch overal komen.
Hoe iemand op de FTP binnenkomt... geen idee. Ja, wachtwoord/gebruikersnaam brute-forcen oid.

Als je FTP-toegang hebt, open je gewoon config.php (of connect.php etc), ongeacht waar die ook staat. Jij spreekt over het bereik van een gebruiker (ftp-user).... die gaat toch gewoon over alle bestanden? Of heb jij een website-user-ftp? Ik heb maar 1 ftp-user: en die kan overal bij. Die gebruik ik alleen om bestanden te uploaden/downloaden.
Voor de database heb ik wel 2 users: 1 met alle rechten, 1 (en die is voor php) met beperkte rechten (geen tabellen wijzigen/verwijderen/toevoegen).
 
PHP hulp

PHP hulp

15/07/2024 20:00:59
 
John Berg

John Berg

25/08/2012 10:43:39
Quote Anchor link
Eddy Erkelens op 25/08/2012 10:36:33:
Als iemand op de FTP kan binnenkomen maakt het niet meer uit waar je wachtwoorden staan. Dan kunnen ze toch overal komen.


NIET dus. zie o.a. link
 
Eddy E

Eddy E

25/08/2012 10:48:34
Quote Anchor link
Ja, dat je ftp-users beperkt in hun mappen, is dat mogelijk. Maar jij hebt dus een extra user aangemaakt die niet in de map /config kan komen? Dat is handig.
Maar om daar te komen (bij het invoeren van je configuratie-instellingen), moet je toch in /config kunnen komen. Gebruik je dan een andere user.

En waarom zal die user (met root-toegang) niet gehackt worden en die andere wel?

Kijk, als je andere personen toegang geeft tot de FTP van je site (iets wat ik doe voor 1 persoon), dan kan die alleen maar in haar eigen map/domein komen.
 
John Berg

John Berg

25/08/2012 11:33:44
Quote Anchor link
We werken nooit als users die alle rechten hebben. Users worden 'gevangen' gehouden in hun deel, eventueel met wat links erin om andere (afgeschermde) delen erbij te zetten.

Het configuratie bestand kan alleen maar gelezen worden door de webserver user (daarmee kun je niet inloggen) en root.

Root heeft alleen ssh/sftp (en geen onveilige ftp) toegang vanaf het IP adres van de zaak. Om root toegang te krijgen zul je:
- in moeten breken op de zaak, dat is beveiligd met een alarm

- het password van een PC moeten hebben (is eenvoudig te kraken, maar het alarm loeit en het beveiligingsbedrijf is onderweg)

- het root password van de webserver moeten hebben (als dat dat niet vooraf hebt bemachtigd ben je verloren)

Ga d'r maar aan staan!
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

25/08/2012 11:35:11
Quote Anchor link
Een root user is degene die de server beheert, of het nu een FTP of database server is, deze wordt aangemaakt tijdens de installatie van de server. Deze wordt trouwens door mij ook nooit maar dan ook nooit root admin of administrator genoemd.

Om even bij FTP te blijven, als je weet hoe het FTP protocol werkt, kan je vanuit waar dan ook ter wereld proberen verbinding te maken met jouw FTP server. En dat gebeurd ook, ga maar eens in de logs kijken.

Als je nu de server goed configureerd hebt (IP blocking etc.) wordt dat uiteindelijk een stuk minder, maar het houdt nooit op.
 
John Berg

John Berg

25/08/2012 11:44:19
Quote Anchor link
@Ger: Tegenwoordig draaien we zelfs geen FTP server meer, juist vanwege een aantal beveiligingsproblemen. We gebruiken tegenwoordig uitsluitend SSH als SFTP. Versleuteld, sneller en naar onze indruk ook stabieler als FTP.

En m.b.t. ip blocking, we blokkeren alles en zetten alleen IP's die we willen toestaan open. Voordat we openVZ gebruikten zetten we de firewall ook nog wel eens open op het MAC adress, zodat je van je eigen laptop b.v. in de trein kon werken. Dat gaat met openVZ niet meer. Had ook als nadeel dat als de laptop gestolen werd, er een (tijdelijk) lek was.
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

25/08/2012 11:56:49
Quote Anchor link
John, mijn reactie was op Eddy's reactie.
 
Tim van Norde

Tim van Norde

25/08/2012 16:57:47
Quote Anchor link
Eddy Erkelens op 24/08/2012 09:36:37:
En uiteindelijk wil je die gegevens alsnog ongecrypt weergeven. Waarom vraag je ze anders?
Kijk, een emailadres crypten kan ik me iets bij voorstellen, maar een telefoonnummer.... waarom heb je hem, als je hem voor de bezoekers niet toont?
Toon je ze wel: dan decrypt je ze en hoeft een hacker je database niet in om die gegevens te pakken.


Informatie dat wordt opgeslagen door webshops misschien ;) Die wil je niet laten zien aan iedereen. (Creditcard info?)
 
Write Down

Write Down

25/08/2012 17:05:19
Quote Anchor link
Tim van Norde op 25/08/2012 16:57:47:
Eddy Erkelens op 24/08/2012 09:36:37:
En uiteindelijk wil je die gegevens alsnog ongecrypt weergeven. Waarom vraag je ze anders?
Kijk, een emailadres crypten kan ik me iets bij voorstellen, maar een telefoonnummer.... waarom heb je hem, als je hem voor de bezoekers niet toont?
Toon je ze wel: dan decrypt je ze en hoeft een hacker je database niet in om die gegevens te pakken.


Informatie dat wordt opgeslagen door webshops misschien ;) Die wil je niet laten zien aan iedereen. (Creditcard info?)


Het punt van Eddy is dat je sommige dingen niet hoeft te encrypten, omdat het simpelweg geen nut heeft. Stel je schrijft/gebruikt een encryptie algoritme voor het versleutelen van een adres. Eveneens kan je dus de originele waarde bekomen door decryptie. Dan is de vraag, wat is het nut... Ook al kan je bijvoorbeeld alleen als admin dit adres zien. Als de hacker in je database geraakt, is het wellicht een koud kunstje om zichzelf admin rechten te verlenen. Dus met andere woorden, het encrypten van sommige data is onnodige overhead.
 
Ger van Steenderen
Tutorial mod

Ger van Steenderen

25/08/2012 18:10:58
Quote Anchor link
Banken zijn zo slim geweest om pinautomaten weg te zetten ipv contant geld op te laten nemen, en toch is er iemand op het ludieke idee gekomen om met een bulldozer (over brute force gesproken) die pinautomaat uit de muur te trekken en daarnaast ook nog eens even alle banden van de politieauto's van het dichtstbijzijnde politiebureau lek te steken (waar gebeurd).
Met andere woorden, perfecte beveiliging bestaat niet.

Maar wat ik niet begrijp is dat de nadruk zoveel op de codering van gegevens in de database ligt. Dat is de binnenkant, je moet eerst de buitenkant beveiligen, en daarna de binnenkant.
 

Pagina: « vorige 1 2



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.