С удивлением открыл для себя, что существует на только .htaccess – файл настроек для апача, в котором можно прописать практически все настройки, начиная от прав доступа и заканчивая настройками php и модулей, но и .ftpaccess
Итак, что же это такое и для чего оно нужно? Read the rest of this entry »
Сегодня хотел бы рассказать про одну брешь в безопасности, которая довольно часто встречается с исходных кодах многих проектов. Это перевод в моей вольной интерпретации и с комментариями статьи Mark Jaquith. Статья написана главным образом для разработчиков плагинов к WordPress, но может быть полезна и для остальных разработчиков на PHP. Речь пойдет про опасность использования переменных $_SERVER['PHP_SELF'] и $_SERVER['REQUEST_URI']. Самый простой пример их использования – атрибут action в формах:
<form action="<?php echo $_SERVER['PHP_SELF']; ?>">
Впрочем, часто переменную используют и в ссылках:
<a href="<?php echo $_SERVER['PHP_SELF']' ?>?id=2">link</a>
Думаю многие сталкивались с ситуацией, когда приносишь флешку из какого-нибудь общественного места (кафе, ВУЗа или просто нерадивого знакомого), вставляешь к себе в компьютер, а дальше от степени везения, либо ваш антивирус начинает жутко паниковать, либо компьютер начинает тормозить, а на пол экрана появляется окно с порнухой. Проще говоря, подцепили вирус.
Обычно сценарий заражения прост. Вы вставляете флешку в зараженный компьютер, вирус сидящий в процессах обнаруживает флешку и записывает на нее свою копию (в виде скрытого файла, а то и системного) и оставляет в корне зараженный файл autorun.inf. Напомню, что он содержит набор команд и программ, запускающихся автоматически при подключении флешки. Таким образом вирус обеспечивает себе дальнейшую жизнь и новые просторы для распространения. Сейчас такая проблема стоит очень остро, скажу лишь, что в моем ВУЗе подобными вирусами заражено около 90% компьютеров.
Способов борьбы с этой напастью несколько. Можно отключить автозапуск в Windows и сканировать каждую флешку при открытии. Способ достаточно действенный, но не самый удобный.
Некоторые же энтузиасты, запрещали запись на флешку в корень, только в папки. То есть, флешка на ней папка data и сохранять файлы можно только туда. Метод так же достаточно эффективный, но не менее неудобный. Достаточно сказать, что при нем перестают работать такие удобные функции проводника windows как “Отправить”.
Другие писали собственные autorun.inf, надеясь что вирус не будет переписывать. Или пытались их сделать неперезаписываемыми. Но все это полумеры. Настоящую же панацею придумала компания Panda.
Мой личный блог. IT, истории из жизни,мысли и идеи. неЖЖ.ру.
