Забыли пароль?
Запросите новый здесь.

Автор темы: Pisatel
ID темы: 1427
Информация:
Тема содержит 11 сообщения, была просмотрена 4096 раз.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
Безопасность через .htaccess
Pisatel
У буржуев увидел на сайте код, вырезку из которого приведу ниже. Чуть погуглил и пришел к выводу, что нам подобное тоже не помешает. Желательно услышать ваше мнение- аргументированные ЗА или ПРОТИВ.
Скачать исходники  Код
# Блокируем любой скрипт, пытающийся отправить любое дерьмо через base64_encode по URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Блокируем любой скрипт, который содержит тег < script> в URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Блокируем любой скрипт, который пытается установить глобальную переменную PHP через URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Блокируем любой скрипт, пытающийся изменить _REQUEST переменную через URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Отправляем все заблокированные запросы на главную с ошибкой 403 Forbidden!
#RewriteRule ^(.*)$ 403.php [F,L]
#В последней строчке я сомневаюсь


 
Web
Polarfox
Ну и зря вырезал, там был полный код - с жумлы, на жумле человеки настолько устали от взломов что выдумывают такие вещи.

По мне - грузят сервер, каждый запрос - ВОООБЩЕ каждый (картинка, страница, скрипт, иное), от каждого посетителя (бот, спамбот, человек, паук, тупаяхрень) добавляет нагрузки на проц.
А если их много?

Нужны не теоретические меры, а практические, в отрывке ничего такого нет,в полном коде - тоже.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Pisatel
В полном коде- не преобразовывать реальные адреса файлов и папок, всякая другая хрень, которая, в принципе, не имеет вообще никакого значения. Нагрузка на сервер? Согласен, будет. Но это НИЧТО по сравнению с мерами привентивной безопасности. Думаю, никого не будет особо волновать нагрузка после того, как на сайте будет обнаружен шелл и куча вредоносного кода. Точнее, нагрузка будет волновать, но уже совсем в другом ключе.
 
Web
Rush
бред какой-то. в джумле один входной файл index.php, зачем так извращаться в htaccess?
 
Web
Polarfox
Pisatel, я не буду спорить, но ты точно понимаешь о чем этот код, как оно поможет и точно ты разбираешься в том о чем говоришь?

Там еще другие вещи были, поброди по форуму, найдешь, те вроде поинтересней.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Pisatel
Оффтопик Я не волшебник. Я только учусь.

Если бы я полностью понимал, что значит этот код, вряд ли бы я стал создавать тему и задавать вопросы, верно? Если это действительно бред- значит, забыли и выбросили.
 
Web
Polarfox
Pisatel, вот не делай упор на то что не знаешь, я просто про это.
Если тебе нада чистку всех GET смотри на других сайтов, а не подбирай то что на офф пришло, там не профи опять же.

Расширений апачев - туча, синтаксис суров, найти возможно что угодно.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Pisatel
Код, данный выше- не с офсайта. Да, нашел его там, далее вбил в гугл и смотрел уже в русскоязычном сегменте. Причем, его рекомендовали как для Joomla, так и для других проектов. Я не случайно только часть взял.
 
Web
Polarfox
Не считаю жумлу эталоном. Ладно делайте что хотите.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Pisatel
Pisatel написал:
... Желательно услышать ваше мнение- аргументированные ЗА или ПРОТИВ.

Не более...
 
Web
util
По безопасности, полезно начинающим:
http://danneo.com...nt-21.html
Счастлив не тот, кто получает подарок, а тот, кто подарок делает.
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум: