Gå til innhold

Webkafeen

enden

Av enden
i Programmering og webutvikling

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
KillYou

KillYou

Skrevet
Skrevet
Nettopp, det var mitt poeng også. Etter behandlingen jeg fikk fra Basefarm frister det veldig å granske kildekoden til ADOdb, Smarty og PEAR for å finne et sikkerhetshull. Ikke for å utnytte det, men for å bevise at error-reporting ikke fører med seg noen fordeler for Dagbladet.no/Blogging.no.

8210094[/snapback]

 

spørsmålet er da hva tjener de på å ha error reporting på? ingen ting jeg kan se. kan ikke ta så mye resurser å få det inn i en ekstern fil.

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet
spørsmålet er da hva tjener de på å ha error reporting på? ingen ting jeg kan se. kan ikke ta så mye resurser å få det inn i en ekstern fil.

8210312[/snapback]

Error-reporting er vel skrudd på som default i PHP? Lenge siden jeg har installert PHP, så jeg husker ikke helt. Er det tilfellet, så har du nok svaret... Mange tror, trist som det er, at standardinnstillinger er det sikreste. Skal egentlig ikke forundre meg om serveren til Dagbladet gir meg output på phpinfo(). :p

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
spørsmålet er da hva tjener de på å ha error reporting på? ingen ting jeg kan se. kan ikke ta så mye resurser å få det inn i en ekstern fil.

8210312[/snapback]

Error-reporting er vel skrudd på som default i PHP? Lenge siden jeg har installert PHP, så jeg husker ikke helt. Er det tilfellet, så har du nok svaret... Mange tror, trist som det er, at standardinnstillinger er det sikreste. Skal egentlig ikke forundre meg om serveren til Dagbladet gir meg output på phpinfo(). :p

8210335[/snapback]

Standarden i PHP5 er at selv om error_reporting er satt på, skal denne bare skrives til fil og ikke vises i output. Det går relativt klart fram at det ikke anbefales å kjøre med display_errors på.

 

Å kjøre med en viss grad av error_reporting til logfil anbefales, da dette også kan hjelpe til å sikre installasjonen. Feil medfører jo en mulighet for hull.

Lenke til kommentar
Cucum(r)

Cucum(r)

Skrevet
Skrevet (endret)
Skal egentlig ikke forundre meg om serveren til Dagbladet gir meg output på phpinfo(). :p

8210335[/snapback]

http://blogging.no/phpinfo.php er iallfall ganske så ekstensiv. :p

8210520[/snapback]

Hehe :p Det der skal vel helst ikke skje på store sider som Blogging.no?

8210529[/snapback]

Tja, man får jo ikkje så veldig mykje ut av det. Det einaste som kan være interessant er visse stier, samt versjonsnummer.

Så vidt eg husker kan man velge output av phpinfo() ved å legge inn forskjellige konstaner, men dette veit vel jorgis og Dahl og gjengen meir om enn meg. :)

 

Security through Obscurity er uansett ingen måte å gå fram på.

 

Men ja, det er jo ingen som helst slags vits i å velje ein slik URL. Output av phpinfo er jo ikkje noko som bør/skal være av interesse for alle og einkvar. Eit sikkerhetshol kan jo eksistere, og da er det lite vits i å reklamere det for alle og einkvar. :)

Endret av Henrik Lied
Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet

Fant følgende i skolens PC-reglement:

3.3.2 Kontroller

 

Skolens IKT-avdeling kan når som helst, uten varsel, kontrollere elevers PC bruk.

 

Dette kan gjøres både over nett og i person. Over nett vil alle filer på elevers PC og H-område kontrolleres, og ved regelbrudd vil brukeridentiteten din bli sperret. IKT-avdelingen kan også samle inn PC-er for kontroll, og de vil da sjekkes nøye igjennom og deles ut igjen til elevene så fort som mulig.

 

Disse kontrollene utføres for å sikre at det ikke er programmer eller materiale som kan skade skolens IKT-ressurser, og spesielt for å kontrollere at det ikke er noe på PC-ene som strider i mot norsk lov.

 

Det anbefales at elevene ikke oppbevarer filer av personlig karakter på PC-en.

 

Eleven skal, om mulig, varsles før eventuelle filer blir slettet.

 

Er det virkelig lovlig for skolens IKT-avdeling å se samtlige dokumenter jeg har på maskinen? Riktignok er det ikke min maskin, men vi betaler leie for den. Jeg har selvsagt dokumenter av personlig karakter på den eneste laptopen jeg bruker daglig...

Lenke til kommentar
Equerm

Equerm

Skrevet
Skrevet
Er det virkelig lovlig for skolens IKT-avdeling å se samtlige dokumenter jeg har på maskinen? Riktignok er det ikke min maskin, men vi betaler leie for den. Jeg har selvsagt dokumenter av personlig karakter på den eneste laptopen jeg bruker daglig...

8210557[/snapback]

Det er lov ja, leietaker har full rett til å bestemme regler og slikt, jeg regner med at du (eller foreldrene dine om du er under 18) har signert en slags kontrakt?

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet
...snip

8210546[/snapback]

 

Ja særlig når man forteller i klartekst hvilken versjon av Linux, PHP, Apache og moduler man bruker. Er jo bare å lese "changelog" til PHP med mere for å finne potensielle hull.

 

Særlig artig å se at php_expose er slått av, mens masterverdien til display_errors er på.

Lenke til kommentar
Dahl

Dahl

Skrevet
Skrevet
Det er lov ja, leietaker har full rett til å bestemme regler og slikt, jeg regner med at du (eller foreldrene dine om du er under 18) har signert en slags kontrakt?

8210630[/snapback]

Jeg har det ja, men jeg kan ikke huske at foreldrene mine har gjort det. Jeg er 17, var 16 da jeg skrev under på kontrakten. Reglene har blitt oppdatert siden da, og jeg kan ikke huske at det aktuelle punktet var i kontrakten da jeg skrev under på den.

Lenke til kommentar
Equerm

Equerm

Skrevet
Skrevet
Jeg har det ja, men jeg kan ikke huske at foreldrene mine har gjort det. Jeg er 17, var 16 da jeg skrev under på kontrakten. Reglene har blitt oppdatert siden da, og jeg kan ikke huske at det aktuelle punktet var i kontrakten da jeg skrev under på den.

8210769[/snapback]

Om de har oppdatert kontrakten uten å si det til deg kan du protestere, men det ender i at du må skrive under på nytt eller at de tar pcen din, er ikke vits å protestere mot skoler sine regler du kommer stort sett aldri noen vei med det uansett

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...