Lexa Software: Apache-Talk@lists.lexa.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: Apache-Talk

Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] Re:

To: apache-talk@lists.lexa.ru
Subject: Re: [apache-talk] Re:
From: Victor B Wagner <vitus@ice.ru>
Date: Tue, 26 Jan 1999 11:13:24 +0300 (MSK)
In-reply-to: <ABuC8hsiRE@khim.sch57.msk.ru>

On Mon, 25 Jan 1999, Khimenko Victor wrote:

> From: Khimenko Victor <khim@mccme.ru>
> Subject: Re: [apache-talk] Re:
> X-Mailer: dMail [Demos Mail for DOS v2.07a2]
> 
> In <Pine.LNX.4.03.9901251643070.8-100000@brass.fe.msk.ru> Victor B Wagner 
>(vitus@ice.ru) wrote:
> >> множество. Я говорил о SQL-авторизации, пароли к которой неизбежно будут в
> >> исходниках...
> 
> VW> Опять же не обязательно. Очень легко сделать, чтобы этот пароль был в
> VW> голове у юзера. Естественно, для этого стоит поднять SSL и не пускать
> VW> юзеров с 40-битным шифрованием.
> 
> По моему спор идет по принципу "в огороде бузина, а в Киеве дядька". По-моему
> исходно речь шла не об авторизации пользователя вообще ! Как я понял проблема
> (с которой я также столкнулся) проще всего пояснить на примере: пусть у нас
> есть, скажем, записная книжка (GuestBook) в базе данных, которая принадлежит
> какому-либо пользователю. Обращение к ней идет через PHP или через mod_perl --
> фиолетово. При этом пользователь, который делает записи в GuestBook'е вообще
> никаких паролей знать не должен ! Не нужно ему это ! Однако чего нам бы не
> хотелось, так это того, чтобы наши соседи по web-server'у могли после взгляда
> на исходники скрипта весь GuestBook испохадить напрямую, не проходя через

Элементарно - запускается под вашим именем демон, которых хранит
необходимую авторизационную информацию. Ваш скрипт на перле обращается
к нему через socket, unix-domain-socket или даже shared memory.
демон при этом проверяет, что тот кто к нему обратился есть apache.
(поскольку это на одной машине, можно сделать, скажем fuser, хотя ident,
пожалуй, хватит). Модуль, который выполняет обращение к демону
авторизации, получает в качестве параметра apache-request и кормит
авторизационному демону URL. Модуль соседям по веб-серверу доступен, но
требуется немалый уровень знаний для того, чтобы его похакать. А если
использовать оригинальный, демон запишет в log из какого скрипта к нему
пришли. (Это если все писать на Perl. Если интерфейс к демону авторизации
написать на C, то хакать его будет совсем неудобно. 

А так стащил кто-то ваш скрипт и видит
($user,$passwd)=&Mymodule::getdbcreditials($r)
$dbh=DBI->connect("dbi:Pg:foo",$user,$passwd);

При попытке сделать то же самое, оно проходит, но в логах остается
строчка "пришли из страницы такой-то", каковой вполне можно сделать stat
и узнать автора, опосля чего применить к оному административные меры.

 --------------------------------------------------
Victor Wagner                   vitus@ice.ru
Programmer                      Office:7-(095)-964-0380
Institute for Commerce          Home: 7-(095)-135-46-61
Engineering                     http://www.ice.ru/~vitus

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =

References:
- Re: [apache-talk] Re:
  - From: Khimenko Victor

Prev by Date: [apache-talk] FrontPage 98 extensions лдя Apache
Next by Date: [apache-talk] =?koi8-r?Q?Re=3A_=5Bapache-talk=5D_FrontPage_98_extensions_=CC?==?koi8-r?Q?=C4=D1_Apache?=
Previous by thread: Re: [apache-talk] Re:
Next by thread: [apache-talk] =?koi8-r?B?4dfUz9LJ2sHDydEgUmU6?=
Index(es):
- Date
- Thread