Komentarze do: KohanaPHP – uwaga na .htaccess! http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/ ostatni heretyk na katolickiej ziemi Fri, 19 Feb 2010 23:37:28 +0100 http://wordpress.org/?v=2.8.4 hourly 1 Autor: normanos http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-33536 normanos Fri, 19 Feb 2010 23:37:28 +0000 http://normanos.com/?p=157#comment-33536 @snap można. nie jest prawdą co piszesz. testowane wielokrotnie. a co ma domyśny htaccess to koto to tam obchodzi ;) @snap można. nie jest prawdą co piszesz. testowane wielokrotnie. a co ma domyśny htaccess to koto to tam obchodzi ;)

]]> Autor: Snap http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-33480 Snap Sat, 13 Feb 2010 18:28:24 +0000 http://normanos.com/?p=157#comment-33480 Niestety ale w kohanie nie można przenieść katalogów frameworka poza katalog główny. Domyślnie w pliku htaccess jest wpis, który blokuje dostęp do katalogów frameworka. Niestety ale w kohanie nie można przenieść katalogów frameworka poza katalog główny. Domyślnie w pliku htaccess jest wpis, który blokuje dostęp do katalogów frameworka.

]]> Autor: Marcin Kłeczek http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-31068 Marcin Kłeczek Mon, 19 Jan 2009 16:35:10 +0000 http://normanos.com/?p=157#comment-31068 Cóż.. masz rację, nie przyszło mi do głowy (nie zastanawiałem się nad tym zbyt długo jednakże, pisząc wówczas), że phpmyadmin jest dostępny publicznie :) Fakt faktem, w wielu przypadkach można łatwo znaleźć phpmyadmina, choć nie zawsze jest na prostej ścieżce (vide home.pl, gdzie dodatkowo trzeba znać nazwę użytkownika). Cóż.. masz rację, nie przyszło mi do głowy (nie zastanawiałem się nad tym zbyt długo jednakże, pisząc wówczas), że phpmyadmin jest dostępny publicznie :)
Fakt faktem, w wielu przypadkach można łatwo znaleźć phpmyadmina, choć nie zawsze jest na prostej ścieżce (vide home.pl, gdzie dodatkowo trzeba znać nazwę użytkownika).

]]> Autor: Nowaker http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-31066 Nowaker Thu, 15 Jan 2009 19:29:26 +0000 http://normanos.com/?p=157#comment-31066 Marcinie, ujawnione hasło do bazy danych jest poważnym zagrożeniem dopiero wtedy, gdy na serwerze dostępne jest narzędzie typu phpMyAdmin. Te skrypty są dostępne publicznie na prawie wszystkich serwerach. Wymyśliłem sobie teraz szybko czterech "hostingodawców" i wpisałem ich domenę wraz z suffiksem /phpmyadmin. U dwóch pokazało się okno logowania. Marcinie, ujawnione hasło do bazy danych jest poważnym zagrożeniem dopiero wtedy, gdy na serwerze dostępne jest narzędzie typu phpMyAdmin.

Te skrypty są dostępne publicznie na prawie wszystkich serwerach. Wymyśliłem sobie teraz szybko czterech “hostingodawców” i wpisałem ich domenę wraz z suffiksem /phpmyadmin. U dwóch pokazało się okno logowania.

]]> Autor: Marcin Kłeczek http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-31064 Marcin Kłeczek Wed, 14 Jan 2009 08:26:25 +0000 http://normanos.com/?p=157#comment-31064 O ile samo znalezienie dziury i wskazanie jej właścicielowi jest jeszcze do zaakceptowania (choć z drugiej strony - ciekawe jak zareagowałby sąsiad, gdybyś do niego przyszedł i powiedział: "Pana drzwi da się otworzyć śrubokrętem" - jeden podziękuje i zmieni zamek, a drugi...), o tyle chęć - "wymuszenie" (bo tak brzmią słowa z początku wiadomości) pieniędzy za "poprawę" jest już karygodna (karalna). Druga sprawa - czy hasło do bazy danych cokolwiek daje? Wszystko zależy od konfiguracji bazy danych - ale żaden porządny admin, nie daje user@'%'. (nie znam kohanaPHP, wiec zakładam, że dostęp tylko do tego uzyskał "klakier"). O ile samo znalezienie dziury i wskazanie jej właścicielowi jest jeszcze do zaakceptowania (choć z drugiej strony – ciekawe jak zareagowałby sąsiad, gdybyś do niego przyszedł i powiedział: “Pana drzwi da się otworzyć śrubokrętem” – jeden podziękuje i zmieni zamek, a drugi…), o tyle chęć – “wymuszenie” (bo tak brzmią słowa z początku wiadomości) pieniędzy za “poprawę” jest już karygodna (karalna).

Druga sprawa – czy hasło do bazy danych cokolwiek daje? Wszystko zależy od konfiguracji bazy danych – ale żaden porządny admin, nie daje user@’%’. (nie znam kohanaPHP, wiec zakładam, że dostęp tylko do tego uzyskał “klakier”).

]]> Autor: Z notatnika webmasterki » Blog Archive » Co trzeba wiedzieć, żeby zacząć pracę z frameworkiem Kohana http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-31063 Z notatnika webmasterki » Blog Archive » Co trzeba wiedzieć, żeby zacząć pracę z frameworkiem Kohana Tue, 13 Jan 2009 10:56:17 +0000 http://normanos.com/?p=157#comment-31063 [...] konfiguracji. Czasem warto również coś dodać. Z resztą jak pisze na swoim blogu normanos, zła konfiguracja .htaccess może powodować powstanie poważnych dziur w aplikacji. Dlatego też nim zacznę korzystać z tego [...] [...] konfiguracji. Czasem warto również coś dodać. Z resztą jak pisze na swoim blogu normanos, zła konfiguracja .htaccess może powodować powstanie poważnych dziur w aplikacji. Dlatego też nim zacznę korzystać z tego [...]

]]> Autor: Paweł Zinkiewicz http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-30935 Paweł Zinkiewicz Sun, 11 Jan 2009 12:34:49 +0000 http://normanos.com/?p=157#comment-30935 Ok, dzięki nrm, w wolnej chwili poprawię swoje spamy. Ok, dzięki nrm, w wolnej chwili poprawię swoje spamy.

]]> Autor: normanos http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-30932 normanos Sun, 11 Jan 2009 12:16:17 +0000 http://normanos.com/?p=157#comment-30932 @Paweł: jeżeli nie ma tam (a webcities chyba stoi na wcześniejszej wersji) żadnych plików to i nie ma czego obejrzeć. Nie mniej dla świętego spokoju powinno się blokować bezpośredni dostęp do katalogów /system, /modules, /application. @Paweł: jeżeli nie ma tam (a webcities chyba stoi na wcześniejszej wersji) żadnych plików to i nie ma czego obejrzeć. Nie mniej dla świętego spokoju powinno się blokować bezpośredni dostęp do katalogów /system, /modules, /application.

]]> Autor: Paweł Zinkiewicz http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-30931 Paweł Zinkiewicz Sun, 11 Jan 2009 12:12:21 +0000 http://normanos.com/?p=157#comment-30931 Spojrzałem właśnie na dzieła Xanna i katalog /cache jest dostępny z poziomu przeglądarki tak jak napisałeś. Tyle, że tam nie ma chyba cachowania, bo inaczej swl by nie działał. Czyli ogólnie nie powinienem się tym przejmować? Spojrzałem właśnie na dzieła Xanna i katalog /cache jest dostępny z poziomu przeglądarki tak jak napisałeś. Tyle, że tam nie ma chyba cachowania, bo inaczej swl by nie działał. Czyli ogólnie nie powinienem się tym przejmować?

]]> Autor: MySZ http://normanos.com/2009/01/10/kohanaphp-uwaga-na-htaccess/comment-page-1/#comment-30924 MySZ Sun, 11 Jan 2009 10:30:48 +0000 http://normanos.com/?p=157#comment-30924 Osobie czytającej tego bloga proponuję sobie przypomnieć podobną sytuację w home.pl i panów którzy chcieli też kasę za 'pomoc w znalezieniu dziury' etc - to raczej nie jest dobry pomysł. Osobie czytającej tego bloga proponuję sobie przypomnieć podobną sytuację w home.pl i panów którzy chcieli też kasę za ‘pomoc w znalezieniu dziury’ etc – to raczej nie jest dobry pomysł.

]]>