Форум русской поддержки Joomla!® CMS
11.12.2016, 02:26:47 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1] 2 3  Все   Вниз
  Добавить закладку  |  Печать  
Автор

Здравствуйте, а можно шифровать данные в configuration.php - например пароль к базе и так далее?

 (Прочитано 407 раз)
0 Пользователей и 1 Гость смотрят эту тему.
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« : 05.10.2016, 22:20:59 »

Здравствуйте, а можно шифровать данные в configuration.php - например пароль к базе, базу данных, имя пользователя базы данных, префикс таблиц и так далее. В общем скрыть от глаз при просмотре файла.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #1 : 05.10.2016, 22:34:06 »

Скрыть от кого при каком просмотре файла? От суперадмина? Абсурд. От одноразово нанимаемого программиста? Без этих данных он не сможет работать.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #2 : 05.10.2016, 22:58:50 »

В общем скрыть от глаз при просмотре файла.
от кого?
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4718

Мама, я снова верстал во сне...


« Ответ #3 : 05.10.2016, 23:05:07 »

А вот кстати в этом есть доля разумности. От взломщика к примеру.
Записан
1-F7
Давно я тут
****

Репутация: +0/-0
Offline Offline

Пол: Мужской
Сообщений: 219



« Ответ #4 : 05.10.2016, 23:10:44 »

Да от взломщика.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #5 : 05.10.2016, 23:35:44 »

@Taatshi, @1-F7:
Если взломщик уже у вас дома, то ему не нужны ключи от подъезда и от квартиры. Если он уже внутри вашей системы, то для нее - он свой и, как минимум, такой же важный, как и вы.
Записан
buyanov
Осваиваюсь на форуме
***

Репутация: +22/-0
Offline Offline

Пол: Мужской
Сообщений: 150


Сайты 74


« Ответ #6 : 05.10.2016, 23:37:48 »

@Taatshi, @1-F7:
Если взломщик уже у вас дома, то ему не нужны ключи от подъезда и от квартиры. Если он уже внутри вашей системы, то для нее - он свой и, как минимум, такой же важный, как и вы.
Не, ну можно через уязвимость ведь прочитать конфиг =) Хотя это скорее исключение
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #7 : 05.10.2016, 23:38:21 »

А вот кстати в этом есть доля разумности. От взломщика к примеру.
А смысл если добрался до конфига. То чтобы в базу каку кинуть логин пасс не нужен хотя если для успокоения совести.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #8 : 05.10.2016, 23:47:32 »

можно через уязвимость ведь прочитать конфиг
Например, как? "Не знаю, но как-то, наверное, можно" не принимается.
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #9 : 06.10.2016, 00:09:31 »

шифровать - не вопрос
вопрос в другом - как это потом расшифровать? Azn
да и нафиг мне вообще будет это конфиг если у меня будет доступ к API Joomla, через которое можно делать с базой все что угодно, а оно к сожалению без пароля не заведется
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #10 : 06.10.2016, 00:26:33 »

Здравствуйте, а можно шифровать данные в ... и так далее. В общем скрыть от глаз...

Идея отличная. Просто Смотрите немного шире на проблему. Ключевая фраза: "и так далее", а не ограниченно один config.
Надо зашифровать ВСЕ файлы сайта, причем каждому файлу свой ключ шифрования, а наемному программисту выдавать ключи только к тем файлам, которые он будет редактировать. (запрет доступа к коммерческим плагинам от утечки)
Преимущества:
1. Сразу решится вопрос защиты от "случайно зашедшего" взломщика: ему придется подбирать к каждому файлу сайта индивидуальный ключ(много времени отнимет).
2. Владельцу сайта Без Проблем доступны к редактированию все файлы, так как у него база из всех 100500 ключей, автоматически расшифровывающие "на лету" при открытии ключами из базы.
3. Наемный программист (на одноразовую работу) получает ключи только от тех файлов которые программирует.
4. После окончания работы смена всех ключей, чтобы "наемный программист" не смог внести изменения в дальнейшем.
5. При выполнении сайта, php проверяет ключи по удаленной базе, если ключ не совпадает- значит произошли изменения исполняемого файла. Отправляется письмо владельцу- какой файл был изменен.
« Последнее редактирование: 06.10.2016, 00:31:53 от AlexeyGal » Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #11 : 06.10.2016, 00:32:01 »

о йеее Azn я думал, я уже опоздал на обсуждение Azn оказывается нет, в самый раз Azn с удовольствием увидел бы реализацию.
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #12 : 06.10.2016, 00:37:44 »

о йеее Azn я думал, я уже опоздал на обсуждение Azn оказывается нет, в самый раз Azn с удовольствием увидел бы реализацию.
реализация простая- расширение (PHP extension) расшифровывающее файлы "на лету" перед Исполнением PHP- по базе данных ключей, доступ к которой есть только у владельца.
также шифрующая все файлы сайта с обновлением ключей в базе по команде и др. функции из панели управления (типа панели xcache для PHP)
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #13 : 06.10.2016, 00:38:01 »

Grin Осенний Сон НаемноПрограммистоНенавистника-НеПрограммиста.
« Последнее редактирование: 06.10.2016, 00:43:51 от robert » Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #14 : 06.10.2016, 00:40:56 »

5. При выполнении сайта, php проверяет ключи по удаленной базе, если ключ не совпадает- значит произошли изменения исполняемого файла. Отправляется письмо владельцу- какой файл был изменен.
вот это самое интересное)
а каким образом php будет туда конектиться?

3. Наемный программист (на одноразовую работу) получает ключи только от тех файлов которые программирует.
а если мне другие файлы понадобятся, даже если там ничего изменять не собираюсь, просто допустим посмотреть что там делается
каждый раз просить ключик для каждого файла?)
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #15 : 06.10.2016, 00:42:54 »

реализация простая- расширение (PHP extension) расшифровывающее файлы "на лету" перед Исполнением PHP
ну хорошо, а программисту с ключами то что делать? вот дали вы ему 2 ключа на 2 файла на растерзание. а дальше - что ему с этими ключами делать?
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #16 : 06.10.2016, 00:44:16 »

Ключи, чтобы открыть
базу из всех 100500 ключей, автоматически расшифровывающие "на лету" при открытии ключами из базы
нужно спрятать в банковкой ячейке, ключи от которой - в другой и т.д.
Эту процедуру нужно проделать каждый раз, когда
После окончания работы смена всех ключей, чтобы "наемный программист" не смог внести изменения в дальнейшем
вот это самое интересное)
а каким образом php будет туда конектиться?
Да запросто, PHP он или нет?
« Последнее редактирование: 06.10.2016, 00:48:11 от robert » Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #17 : 06.10.2016, 00:45:48 »

а каким образом php будет туда конектиться?
дополнительная база с ключами, доступ к которой имеет только PHP-extension, коннектиться будет надстройка с одним запросом- выбрать все данные, формировать в ПАМЯТИ  Двумерный массив "файл-ключ" и дальше брать ключи только из массива, не обращаясь к базе ключей.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #18 : 06.10.2016, 00:47:18 »

дополнительная база с ключами
Ыыыыы, больше не могу.
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Offline Offline

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #19 : 06.10.2016, 00:47:24 »

Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #20 : 06.10.2016, 00:49:55 »

Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
и самое главное - отключить нафиг интернет Azn
Записан
Septdir
Живу я здесь
******

Репутация: +36/-3
Offline Offline

Пол: Мужской
Сообщений: 841


Skype: septdir


« Ответ #21 : 06.10.2016, 00:51:03 »

Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)
И топор для экстренного отключения
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Offline Offline

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #22 : 06.10.2016, 00:52:09 »

и самое главное - отключить нафиг интернет Azn

интернет первым делом... но еще надо и от электрической сети обязательно... чтоб враги через нее не добрались... А включать его только по допуску и в специальном помещении...
Судя по рассказам бывалых... мы еще дешево отделались...
В былые времена по инструкции надо еще чтоб над тобой человек стоял... и в случае опасности сначала застрелил тебя... а потом должен был застрелиться сам)))
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #23 : 06.10.2016, 00:53:28 »

ну хорошо, а программисту с ключами то что делать? вот дали вы ему 2 ключа на 2 файла на растерзание. а дальше - что ему с этими ключами делать?

можно выдать ключи от определенных ПАПОК, потом чтобы PHP-extention еще проверяло, если ключ не подходит- то в каком месте файла что изменилось, по типу Git diff- просмотр внесенных изменений
очень ведь удобно при взломе сайта админу- сразу проанализировать где конкретно и что было измененено в 100500 файлах сервера.
ведь согласитесь git diff очень удобно при разработке, также было бы удобным иметь простой инструмент находить изменения в файлах сайта с отчетом на почту!
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #24 : 06.10.2016, 00:55:51 »

надо еще чтоб над тобой человек стоял... и в случае опасности сначала застрелил тебя... а потом должен был застрелиться сам)))
а дальше то что? Azn сервер после того, как оба застрелились, тупо ж стырят Azn
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #25 : 06.10.2016, 00:57:06 »

можно выдать ключи от определенных ПАПОК
это ясно. а делать то что ему потом с ключами этими? записал он себе их на листик, а дальше?
Записан
zikkuratvk
Профи
********

Репутация: +258/-2
Offline Offline

Пол: Мужской
Сообщений: 3938


Разрабатываем для Joomla


« Ответ #26 : 06.10.2016, 00:57:39 »

а дальше то что? Azn сервер после того, как оба застрелились, тупо ж стырят Azn
тогда серверов еще не было)))
Записан
AlexeyGal
Давно я тут
****

Репутация: +25/-8
Offline Offline

Пол: Мужской
Сообщений: 259



« Ответ #27 : 06.10.2016, 00:59:51 »

это ясно. а делать то что ему потом с ключами этими? записал он себе их на листик, а дальше?

Дальше открывает любимый Eclipse PDT и устанавливает Eclipse extention from Eclipse Market и добавляет эти ключи, расшифровывающие нужные файлы проекта.
Коммерческие плагины останутся зашифрованы и недоступны для просмотра.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3595


« Ответ #28 : 06.10.2016, 01:02:50 »

Уф, какая удача! А я уже собирался идти спать.
AlexeyGal aka Elano not Алексей, вы почаще ходите к нам, а то жизнь здесь казалась такой серой без вас Azn.
Записан
dmitry_stas
Профи
********

Репутация: +798/-4
Offline Offline

Сообщений: 7786



« Ответ #29 : 06.10.2016, 01:06:44 »

а если у меня любимый не Eclipse PDT, а Notepad++, то скачивать надо соответственно Notepad++ extention from Notepad++ Market?
Записан
Страниц: [1] 2 3  Все   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet