Разработка динамических сайтов
SEO услуги
Управление контекстной рекламой

Вход на хостинг

Имя пользователя:*

Пароль пользователя:*

IT-новости

20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла

Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......

подробнее

30.07.2015 Ищем уникальный контент для сайта

Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......

подробнее

11.05.2015 Распространённые ошибки разработчиков сайтов

Не секрет, что в сети Интернет насчитывается миллионы сайтов, и каждый день появляются тысячси новых......

подробнее

Вместо «плоских» файлов для хранения некоторых данных может использоваться и база данных MySQL (см. файл conf/db_conf.php).

Раскрытие конфигурации

По умолчанию конфигурационные и прочие настроечные файлы имеют расширение inc (исключение составляет лишь db_conf.php), однако Ilohamail в процессе инсталляции не предпринимает никаких действий, чтобы ограничить к ним доступ через веб-браузер. Учитывая, что файлы конфигурации могут хранить в открытом виде логин/пароль для авторизации на smtp-сервере, опасность этого достаточно высока. Да и вообще, не очень хорошая идея – предоставить всем возможность видеть настройки пакета, например, пути доступа к пользовательским файлам.

Поэтому нужно озаботиться ограничением доступа к inc-файлам силами веб-сервера. Для Apache соответствующий фрагмент файла httpd.conf может выглядеть таким образом:

<Files ~ ".inc$">

    Order allow,deny

    Deny from all

</Files>

Аналогичное ограничение можно наложить и только на нужный каталог, например, используя .htaccess (хотя, если вы единственный, кому может понадобиться менять настройки сервера, то по соображениям быстродействия лучше от использования файлов .htaccess отказаться).

Возможность анонимного доступа к почтовому ящику

Если пользователю разрешено самостоятельно указывать POP3- или IMAP-сервер, то злоумышленник может воспользоваться вашим сайтом для взлома чужого ящика методом подбора пароля, причем с точки зрения пострадавшего сервера, источником атаки будет являться именно ваш IP-адрес.

Таким образом, если вы не строите сознательно сервис для анонимного доступа к любым почтовым ящикам, то имеет смысл принудительно указать в настройках пакета ваш сервер и исключить возможность указывать имя произвольного сервера. Для этого нужно указать разрешенный адрес (или список адресов, если серверов несколько) в переменной $default_host в файле conf/login.inc; также потребуется установка $hide_host = 1, чтобы скрыть ненужную подпись в форме.


Предыдущая страницаОглавлениеСледующая страница
 
[001] [002] [003] [004] [005] [006] [007] [008] [009] [010] [011] [012] [013] [014] [015] [016] [017] [018] [019] [020]
[021] [022] [023] [024] [025] [026] [027] [028] [029] [030] [031] [032] [033] [034] [035] [036] [037] [038] [039] [040]
[041] [042] [043] [044] [045] [046] [047] [048] [049] [050] [051] [052] [053] [054] [055] [056] [057] [058] [059] [060]
[061] [062] [063] [064] [065] [066] [067] [068] [069] [070] [071] [072] [073] [074] [075] [076] [077] [078] [079] [080]
[081] [082] [083] [084] [085] [086] [087] [088] [089] [090] [091] [092] [093] [094] [095] [096] [097] [098] [099] [100]
[101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120]
[121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140]
[141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157]

+7 (831) 413-63-27
ООО Дельта-Технология ©2007 - 2016 год
Нижний Новгород, ул. Дальняя, 17А.
Rambler's Top100