← Segurança

Estará o meu site em perigo

Lida 5996 vezes

Offline
D

Dub 
Membro
Mensagens 1335 Gostos 7
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Avatar Tenth year Anniversary Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

Olá, tenho um programador a trabalhar num site meu.

Acontece que ele pediu-me para lhe enviar a base de dados... na raíz do site tem um ficheiro com os dados de acesso à base de dados. Na pior das hipoteses o que é que pode acontecer ?
Offline

Project 
Membro
Mensagens 1471 Gostos 17
Feedback +22

Troféus totais: 25
Trófeus: (Ver todos)
Mobile User Apple User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Pelo sim pelo não, faz um contracto para ele assinar.
Offline
D

Dub 
Membro
Mensagens 1335 Gostos 7
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Avatar Tenth year Anniversary Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

isso está fora de questão, so queria que alguem entendido na materia me explicasse os perigos que corro.
Offline

alopes 
Membro
Mensagens 373 Gostos 8
Feedback -1

Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts

Citação de: Dub em 28/Abr/2011 12:18
isso está fora de questão, so queria que alguem entendido na materia me explicasse os perigos que corro.

Verifica se tens o ficheiro de config com o CHMOD correcto (444). E se o código não foi feito por um programador amador!

Assinar contrato não serve de nada quando o site pode ser hackeado!
Offline
D

Dub 
Membro
Mensagens 1335 Gostos 7
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Avatar Tenth year Anniversary Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

qual ficheiro de config ? o gajo ta a trabalhar no site, tem acesso por ftp ao site (apenas à pasta deste site, e não à raíz) onde se encontram todos os ficheiros. para alem disso pediu o ficheiro sql. a minha duvida é saber o que alguem pode fazer com isto ? mesmo futuramente ?
Offline
c

cpdesign 
Membro
Mensagens 235 Gostos 1
Troféus totais: 21
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Tudo depende da extensão do ficheiro. Há extensões que podem ser executadas a partir do browser e/ou visualizado o seu conteúdo, outras nem por isso.

Por exemplo, nos SO Windows Server por norma os ficheiros de configuração estão protegidos contra a execução e visualização.

Caso queiras proteger a BD em caso de hacking, fazes a encriptação das connection strings. Do outro lado os scripts deverão fazer a sua desencriptação antes de fazerem operações sobre as BDs. Desta forma não será tão transparente a forma como é feito o acesso às BDs.
Offline
c

cpdesign 
Membro
Mensagens 235 Gostos 1
Troféus totais: 21
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Citação de: Dub em 28/Abr/2011 12:39
qual ficheiro de config ? o gajo ta a trabalhar no site, tem acesso por ftp ao site (apenas à pasta deste site, e não à raíz) onde se encontram todos os ficheiros. para alem disso pediu o ficheiro sql. a minha duvida é saber o que alguem pode fazer com isto ? mesmo futuramente ?

Quando o trabalho estiver terminado, altera as passwords do FTP, bem com as da BD. Quando alterares as passwords da BD, vais ao ficheiro de configuração e colocas lá a nova password.
Offline
D

Dub 
Membro
Mensagens 1335 Gostos 7
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Avatar Tenth year Anniversary Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

ja li sobre alterar as pass's da bd mas isso é feito por linux aparentemente e sou um 0 à esquerda nem sei o que isso é.

nao há outra maneira ? ou algum tutorial que eu possa seguir ?
Offline
D

Diogo Pinto 
Administrador
Mensagens 4400 Gostos 371
Feedback +4

Troféus totais: 37
Trófeus: (Ver todos)
Avatar Search Level 6 Linux User Mobile User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes

Citação de: Dub em 28/Abr/2011 12:54
ja li sobre alterar as pass's da bd mas isso é feito por linux aparentemente e sou um 0 à esquerda nem sei o que isso é.

nao há outra maneira ? ou algum tutorial que eu possa seguir ?

CPanel não dá?
Offline
d

diogoosorio 
Membro
Mensagens 134 Gostos 1
Feedback +1

Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Parece-me que tens de distinguir duas questões essenciais:

  • Se deste acesso aos ficheiros ao programador, estares a tentar "esconder" a estrutura da base de dados é uma atitude completamente inútil (e contraproducente). Se ele tem acesso ao código fonte da aplicação, consegue deduzir a estrutura da base de dados a partir dai.

    Neste sentido, se ele te está a pedir a estrutura da bd, não existe qualquer inconveniente em fornece-la, antes pelo contrário (acredita que se as intenções dele não forem as melhores, não é por ai que vais estar mais ou menos "entalado").


  • Já em relação aos dados que se encontram armazenados na base de dados - contas de utilizador e por ai fora - essa informação sim convém reteres para ti e não divulgá-la ao programador ou a quem quer que seja. Ou seja, o ideal\necessário é forneceres apenas a estrutura da bd (o tal ficheiro sql), mas onde os dados que nela contida estão "limpos".


  • Finalmente os acessos à bd que, obviamente, têm de ser alterados após o trabalho ter sido feito. Isto para depois o programador não te andar a "escarafunchar" na bd. Mas, mais uma vez, também isto é bastante relativo - se o programador te quiser "quilhar" (mais uma vez), é-lhe muito fácil de obter o que quer que seja após ter trabalhado na aplicação...

Agora da teoria à execução. A forma mais simples é criares uma cópia da base de dados, limpares os dados contidos nessa cópia e "exportares" novamente a estrutura da BD para um ficheiro sql. Após o trabalho estar concluído mudas os dados de acesso da BD principal.

O procedimento em si depende um pouco de como tens alojado o site. Está num regime de alojamento partilhado? Se sim, qual o painel de administração a que tens acesso? Tens acesso ao phpMyAdmin? Ou estás numa VPS\servidor dedicado e tens acesso ao cliente MySQL na consola?
Offline

alopes 
Membro
Mensagens 373 Gostos 8
Feedback -1

Troféus totais: 22
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts

Citação de: Diogo Pinto em 28/Abr/2011 12:57
CPanel não dá?

Dá. Na parte de criar BDs e contas de utilizador MySQL.
Offline
D

Dub 
Membro
Mensagens 1335 Gostos 7
Feedback +8

Troféus totais: 29
Trófeus: (Ver todos)
Avatar Tenth year Anniversary Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

obg ao diogo pela ajuda, está resolvido :)

Páginas: 1

Posts relacionados

Conversa Geral

Websense alerta para perigo de sites de alojamento gratuito

ViiPER

AdSense

Estará o meu Adsense rentabilizado?

f
filiprib

Segurança

(Alerta) O Perigo do Web Hosting

K
KnowTheGuy