Centrum bezpieczeństwa

[matma4u]

W ACP>>System>> Centrum bezpieczeństwa:

Uczyń plik "conf_global.php" niezapisywalnym przycisk "Czytaj więcej", tyle że kliknięcie powoduje, że operacja zostaje wykonana natychmiastowo, proponuję zmienić na "Uruchom"

Zmiana nazwy folderu 'admin' przycisk "Czytaj więcej" proponuję zmienić na "Uruchom"

Zabezpieczenie panelu administracyjnego plikiem .htaccess przycisk "Czytaj więcej" proponuję zmienić na "Uruchom"

Co do ostatniej propozycji to faktycznie lepiej pasuje "Czytaj więcej" jednakże ten sam łańcuch tekstowy jest używany do wszystkich tu wymienionych opcji. Dla niedoświadczonego użytkownika może stanowić to pułapkę, bo uruchomi np opcję "Uczyń plik "conf_global.php" niezapisywalnym" kliknie przycisk "Czytaj więcej" w celu otrzymania dodatkowych informacji, a tu zamiast tego dowie się, że już operacja została wykonana.

To też pasuje przeredagować, bo brzmi trochę "kosmicznie"

Uczyń plik "conf_global.php" niezapisywalnym

Po instalacji powinno się zmienić CHMODy pliku "conf_global.php" na takie by niemożliwe było zapisywanie do tego pliku nowych danych.

Plik "conf_global.php" NIE jest zapisywalny.

Propozycja

Zabezpiecz plik "conf_global.php"

Do poprawnej instalacji skryptu wymagane jest aby plik "conf_global.php" posiadał atrybuty: prawo do zapisu i odczytu, jednakże po zakończeniu tego procesu ze względów bezpieczeństwa należy uniemożliwić zapisywanie do tego pliku nowych danych.

Aktualnie plik "conf_global.php" jest zabezpieczony. (ten tekst można by było dać w kolorze zielonym, pogrubiony)

Zabezpiecz plik "conf_global.php"

Do poprawnej instalacji skryptu wymagane jest aby plik "conf_global.php" posiadał atrybuty: prawo do zapisu i odczytu, jednakże po zakończeniu tego procesu ze względów bezpieczeństwa należy uniemożliwić zapisywanie do tego pliku nowych danych.

Aktualnie plik "conf_global.php" jest niezabezpieczony. (ten tekst można by było dać w kolorze czerwonym, pogrubiony)

PS I to też trzeba zmienić: Narzędzia bezpieczeństwa dostępne na Narzędzia bezpieczeństwa(mój typ) lub Dostępne narzędzia bezpieczeństwa

Zabezpieczenie plików PHP/CGI plikiem .htaccess

IP.Board może zapisać pliki .htaccess do folderów bez plików .php by chronić przed uruchomieniem w nich plików PHP lub CGI.

IP.Board wykrył kilka plików .htaccess.

Oryginalny string brzmi:

s_phpcgi_bad

IP.Board can write .htaccess files to non-PHP directories to prevent PHP and CGI files from executing.<br />IP.Board <strong>cannot</strong> locate any .htaccess files. itd....

s_phpcgi

IP.Board PHP/CGI .htaccess Protection

Jak łatwo zauważyć nie chodzi tu o zabezpieczanie plików php/cgi plikiem .htaccess, lecz o zabezpieczenie katalogów (np uploads) po wgraniu do nich pliku .php lub .cgi. Opcja powoduje, że nie będziemy mogli uruchomić takiego pliku, po wpisaniu w pasku przeglądarki adresu URL (do tego pliku)

Na przykład w katalogu cache mamy plik furlCache.php, jeśli opcja jest wyłączona to wpisanie w przeglądarkę:

http://mojeforum/cache/furlCache.php

spowoduje uruchomienie pliku

Włączenie opcji spowoduję wyświetlenie komunikatu: 403 Forbidden

DawPi jeśli możesz to skopiuj kod zawarty w pliku .htacces, chcę mieć pewność.[/color]

[DawPi]

Znaczy się, co zrobić?

[matma4u]

Wejdź np do katalogu cache i skopiuj zawartość pliku .htacces, a następnie wklej go do tego tematu

[DawPi]

Standard:

#<ipb-protection>
<Files ~ "^.*\.(php|cgi|pl|php3|php4|php5|php6|phtml|shtml)">
   Order allow,deny
   Deny from all
</Files>
#</ipb-protection>

[matma4u]

Dlatego trzeba to przeredagować, by użytkownik miał świadomość co się stanie. Np, że nie będzie mógł z poziomu przeglądarki przeglądać (pobierać) plików .cgi zawierających logi błędów SQL (oczywiście w ACP opcja działa dla pierwszych chyba 300 lini)

IP.Board może zapisać pliki .htaccess do folderów bez plików .php by chronić przed uruchomieniem w nich plików PHP lub CGI.

IP.Board wykrył kilka plików .htaccess.

[wareczek]

Sugerowana poprawka została przyjęta przez członka grupy tłumaczy.

Dziękujemy.