Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.
Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.
Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.
Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 24.05.0 editoru videa Kdenlive (Wikipedie). Ke stažení brzy také na Flathubu.
David Revoy, autor mj. komiksu Pepper&Carrot, se rozepsal o své aktuální grafické pracovní stanici: Debian 12 Bookworm, okenní systém X11, KDE Plasma 5.27, …
Wayland (Wikipedie) byl vydán ve verzi 1.23.0. Z novinek lze vypíchnout podporu OpenBSD.
Craig Loewen na blogu Microsoftu představil novinky ve Windows Subsystému pro Linux (WSL). Vypíchnout lze GUI aplikaci pro nastavování WSL nebo správu WSL z Dev Home.
V sobotu 1. června lze navštívit Maker Faire Ostrava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Webový server Caddy (Wikipedie) s celou řadou zajímavých vlastností byl vydán ve verzi 2.8 (𝕏). Přehled novinek na GitHubu.
Byla vydána verze 3.0 (@, 𝕏) svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.
Našel jsem tenhle fajn článek (sice z roku 2006) http://aymanh.com/checklist-for-securing-php-configuration
každopádně všechny ty rady se mi zdají základní a dobré (neřešil bych expose_php
, to je na každém)
register_globals = Off
to už je dneska všude default
open_basedir
- nemůžu to nastavit hromadně v php.ini protože používám více virtuálních domén každá ve svojem home adresáři, nacpal jsem to tedy do Directory direktivy apache:
php_admin_value open_basedir
pak tady http://www.cyberciti.biz/faq/linux-unix-apache-lighttpd-phpini-disable-functions/
byl nějaký ten seznam "nebezpečných" funkcí, grepl jsem si zdrojáky a když jsem tam žádnou z těch funkcí nenašel tak jsem je jednoduše zakázal:
disable_functions =exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source
I když bych měl nějakou brutální chybu v těch PHP stránkách tak by je openbase_dir neměl pustit někam mimo svůj adresář, nebo se pletu?
Jestli někdo máte nějaký další tip a nápad tak sem s ním! DíkTiskni Sdílej:
parse_ini_file
a proč show_source
, což je jen alias pro highlight_file
?)
#cat /usr/share/doc/php5/README.Debian.security the Debian stable security team does not provide security support for certain configurations known to be inherently insecure. This includes the interpreter itself, extensions, and code written in the PHP language. Most specifically, the security team will not provide support for flaws in: - vulnerabilities involving any kind of safe_mode or open_basedir violation, as these are security models flawed by design and no longer have upstream support either. - any "works as expected" vulnerabilities, such as "user can cause php to crash by writing a malcious php script", unless such vulnerabilities involve some kind of higher-level DoS or privilege escalation that would not otherwise be available. -- sean finney Tue, 10 Oct 2006 12:42:06 +0200(redakčně kráceno)
open_basedir
v mnoha situacích velmi dobrá vlastnost PHP, a to i když se zároveň používá např. suexec
. Nicméně je to skutečně defective, dokud se důsledně nezakážou všechny funkce typu exec
, shell_exec
, system
atd. (je jich skutečně hodně), které umožňují spouštět externí kód, na který se open_basedir
samozřejmě nevztahuje. Problém vidím v tom, že těch funkcí umožňujích spustit externí kód je skutečně hodně, pak k tomu lze zneužít některá php rozšíření, a neexistuje jedna volba, která by toto omezila.
Jistě je jedna z cest i použití věšcí jako selinux nebo apparmor. Jenže zatím jsem nenašel možnost nebo konfiguraci, která by umožnila snadné nasazení a správu na mass-hostingu (řekněme stovky izolovaných webů na jednom systému). Fastcgi+suexec s volitelným open_basedir (není-li třeba spouštět externí aplikace) je pak dobrá volba.
Z měření, které jsem naposledy dělal (na reálné aplikaci, umělá zátěž) vyplynulo, že výkon mod_php a PHP+FASTCGI+SUEXEC je naprosto srovnatelný.Asi bude záležet na konkrétní situaci.
parse_str($_SERVER['QUERY_STRING']);...a máš to samé. Ftip je v tom, že to můžeš udělat třeba uvnitř nějaké funkce, takže případný útočník má jen velmi omezené pole působnosti k ovlivnění neinicializovaných proměnných.