Здравствуйте, а можно шифровать данные в configuration.php - например пароль к базе и так далее? - страница 2 - Joomla 3.x: Общие вопросы

Допустим все ваши бредни реализованы. Где вы потом найдете исполнителя на внесение изменений в ваш сайт? Если вы достаточно квалифицированы чтобы понять в каких файлах надо произвести изменения, то, скорее всего, вам программист не нужен. Если нет, то на обычном сайте программист смотрит как минимум вьюху, контроллер, модель или несколько моделей, а еще может быть куча плагинов и т.п. Если все это будет зашифровано ни один нормальный программист не возьмется за решение вашей задачи т.к. достаточно работы и с нормальными сайтами, либо завысит цену в 10-100 раз. Вам оно надо?

Если на сервак залит произвольный скрипт то получить доступ к БД можно и без считывания данных из configuration.php. Если есть доступ к админке то ничто не мешает залить любой скрипт. Доступ к БД получают как правило пользуясь уязвимостями в коде. Зачем взломщику вообще нужен конфиг?

Вот залили произвольный PHP скрипт на сервер! а он не Заработает! потому что он не зашифрован и отсутствует Ключ в база данных!

Тоесть вы предлагаете все файлы CMS-ки шифровать? Отличная идея. Вперед.

Если сайт/сервер достаточно защищен то даже зная пароли и логины из конфига вы доступа к БД не получите. Во всех смсках/фреймворках хеши, пароли к БД, соль хранятся в обычных файлах конфига

Эка вас тут растащило 

Не знаю как вас, но меня лично ломали через компонент adsmaneger. Взломщик заливал закодированные файлы в папку tmp, раскодировать которых можно понять, что он хочет увидеть configuration.php. Так вот я не хочу, чтоб были видны все мои данные в этом файле.

Вспоминаю годы учебы... когда нам говорили... чтоб обезопасить сервер надо его положить в сейф :-)

если в сейф положить с включенным интернетом то не обезопасишь, самое первое для безопасности перед тем как положить в сейф, надо отключиться от интернета и не использовать его на том сервере

Вот залили произвольный PHP скрипт на сервер! а он не Заработает! потому что он не зашифрован и отсутствует Ключ в базе данных!
PHP Extention понимает что это левый файл и PHP откажется его выполнять вообще! Выдаст ошибку и e-mail админу об  обнаружении левого файла.

а как же кеш сайта, это же сторонние файлы

Не знаю как вас, но меня лично ломали через компонент adsmaneger. Взломщик заливал закодированные файлы в папку tmp, раскодировать которых можно понять, что он хочет увидеть configuration.php. Так вот я не хочу, чтоб были видны все мои данные в этом файле.

следите за сайтом обновляйте все своевременно, и спите спокойно

1-F7, все написанное вчера не воспринимайте серьезно. Это все развлекушки перед сном. Многие ломают голову на этими идеями в разных вариациях. Но к сожалению нет способа это сделать. Если кто-то попал к вам на сервер и имеет возможность запустить хотя бы 1 файл - он прочтет все, чем бы оно ни было зашифровано

Вот залили произвольный PHP скрипт на сервер! а он не Заработает! потому что он не зашифрован и отсутствует Ключ в базе данных!
PHP Extention понимает что это левый файл и PHP откажется его выполнять вообще! Выдаст ошибку и e-mail админу об  обнаружении левого файла.

а расскажите, как устанавливать новые расширения при этом?

раскодировать которых можно понять, что он хочет увидеть configuration.php

Если вам хоть один файл залить смогли, то, как сказал dmitry_stas...

он прочтет все, чем бы оно ни было зашифровано

Часто достаточно просто посмотреть исходник выдаваемой страницы, что бы понять, как взять сайт под свой контроль. Но в подавляющем большинстве случаев это делается с помощью софта.

Касательно сабжа: вы изобретаете замок? Но где то должен быть и ключ от него. А если быть точным - ключ будет лежать около двери под ковриком. И что вы хотите этим добиться?

Защита очень простая:
1. print_r файл покажет, но все строки с паролями в нем тоже зашифрованы, а ключа к строкам конфига нет.

угу с учетом того, что print_r показывает не файл, это очень актуально

Пора заканчивать с этим безобразием, когда пароли и конфиги хранятся в открытом виде, а файлы не зашифрованы! Все файлы зашифровать и спать спокойно!

для этого есть другие языки, не php. когда файлы хранятся в бинарном виде.

Было бы круто, если бы даже администраторы хостинга не могли бы посмотреть файл configuration.php.

угу, было бы очень круто. берете впс/вдс, учите линукс, сами администрируете сервер, и никто кроме вас ничего не видит.

Не знаю как вас, но меня лично ломали через компонент adsmaneger. Взломщик заливал закодированные файлы в папку tmp, раскодировать которых можно понять, что он хочет увидеть configuration.php. Так вот я не хочу, чтоб были видны все мои данные в этом файле.

Странный какой то взломщик. Если я залью вам правильный php скрипт то я получу полный контроль над вашей БД безо всяких там конфигов. А там уже все ништячки лежат. К чему мне конфиг ваш? Возможно взломщик искал конфиг чтобы повесить туда какую нибудь бяку. Вот это более вероятно так как файл инклудится cms-кой.

Кстатии а что за версия AdsManager у вас стояла с такой уязвимостью? Качали с официального сайта?

http://joomlaforum.ru/index.php/topic,331637.0.html

Ну-да накосячили разработчики. А я был до последнего уверен что это надежное расширение. Конечно они уже давно думаю закрыли эту уязвимость. Посему вывод: всегда обновляйте расширения до последних версий. А лучше не ставьте их вообще. Чем меньше популярных расширений у вас установлено, тем меньше потенциальных уязвимостей.