View Full Version : سوال: ايا غير فعال كردن safe mode براي سايت خطر دارد؟؟
realman
سه شنبه 25 تیر 1387, 19:13 عصر
پس از خواهش من براي غير فعال كردن safe mode از يكي از خدمات دهندگان هاست بدين شكل مورد تحديد قرار گرفتم:
با توجه به غیر فعال شدن safe_mod برای سایت شما، پشتیبانی فنی :
۱. هیچگونه مسئولیتی در قبال امنیت سایت شما نمیپذیرد و هر گونه نفوذ، تغییر ظاهر و خرابکاری در سایت شما به عهده خودتان است،
۲. در صورتی که برای سایتهای دیگر یا برای وب سرور مشکل امنیتی ایجاد شود و پشتیبانی فنی میتواند بدون اخطار قبلی سایت شما را غیر فعال یا safe_mod را فعال کند،
۳. در صورت مشاهدهی هرگون اسکریپت مشکوک در Document Root هاست شما، مسئول قانونی این scriptها شما هستید؛ خواه این اسکریپت توسط کاربرانتان فرستاده شده باشد یا از سوی خود شما.
در صورت امكان لطف كنيد و به طور منطقي و كامل شرح بديد كه safe mode بايد فعال يا غير فعال باشد؟و آيا واقعا با غير فعال شدن ان تمام تحديد هاي بالا بايستي متوجه من باشد؟
vahid4134
سه شنبه 25 تیر 1387, 21:01 عصر
باید فعال باشه در صورت غیر فعال کردن امکان اجرای اسکریپتهایی هست می تونه صدمات خیلی شدیدی رو به سرور وارد کنه و اطلاعات محرمانه رو به دست بیاره. اطلاعات مهم در
http://ir.php.net/features.safe-mode
در نسخه ۶ این موضوه کاملا برداشته شده است
hector2000
چهارشنبه 26 تیر 1387, 01:28 صبح
ایا در سرورهای لینوکس هم غیر فعال کردن این مورد خطرساز است؟(باعث هک شدن سایت می شود)
از انجایی که سیستم وی بولتین برای یکسری از عملیاتش( انتقال فایلهایش بر روی هاست) نیازمند غیرفعال کردن این گزینه است بنابراین اگر شخصی بخواهد این کار را بکند چه راهکاری پیشنهاد می شود؟
vahid4134
چهارشنبه 26 تیر 1387, 13:13 عصر
به طور کل این مورد در لینوکس بیشتر ضربه وارد میکنه. البته شاید باعث هک شدن خود سایت نشه ولی باعث نفوذ خود اسکریپت به فایلهای اصلی لینوکس مثل فایل رمز عبور و خیلی از قسمتهای دیگه بشه (به تجربه این برام ثابت شده) به طور کل این مورد دیگر در نسخه ۶ پی اچ پی وجود نداره. برای کارهای مورد نظر هم راهکارهایی وجود داره. شما مثال بزنید که مثلا چه کاری م خوایید انجام بدید تا راهنمایی کنم
realman
پنج شنبه 27 تیر 1387, 09:22 صبح
باید فعال باشه در صورت غیر فعال کردن امکان اجرای اسکریپتهایی هست می تونه صدمات خیلی شدیدی رو به سرور وارد کنه و اطلاعات محرمانه رو به دست بیاره. اطلاعات مهم در
http://ir.php.net/features.safe-mode
در نسخه ۶ این موضوه کاملا برداشته شده است
با تشکر از شما.ایا راه کاری هست که پس از غیر فعال کردن safe mode امنیت رو مجددا برقرار کنیم؟
یعنی راه کار های جایگزین.
خود من به شخصه،بارها با روشن safe mode در script هام به مشکل برخوردم.مثلا در file uploadو...وهمچنین استفاده از بسیاری از scriptهای آماده.
vahid4134
پنج شنبه 27 تیر 1387, 13:14 عصر
اگر در file uplodad و بسیاری از اسکریپتها به مشکل بر خوردید به خاطر permission بوده. من که تا به حال به مشکلی بر نخوردم. حالا بخواین امنیتی رو دوباره برگردونین کار خیلی سختی هست که باید روی سرور مادر انجام بشه. که واقعا به صرف نیست و ممکنه بازم حفره وجود داشته باشه
realman
جمعه 28 تیر 1387, 19:28 عصر
اگر در file uplodad و بسیاری از اسکریپتها به مشکل بر خوردید به خاطر permission بوده.
از صحت permission ها اطمينان كامل داشتم و مشكلم دقيقا با غير فعال كردن safe mode حل شد.
بيشتر تحقيق مي كنم.متشكرم.
vahid4134
جمعه 28 تیر 1387, 21:04 عصر
از صحت permission ها اطمينان كامل داشتم و مشكلم دقيقا با غير فعال كردن safe mode حل شد.
بيشتر تحقيق مي كنم.متشكرم.
When safe_mode (http://ir.php.net/manual/en/features.safe-mode.php#ini.safe-mode) is on, PHP checks to see if the owner of the current script matches the owner of the file to be operated on by a file function or its directory. For example:
دلیلش همین هست.
البته دیگه در php6 safe mode برداشته شده و امنیت رو باید خود مدیران سرور تامین کنند که نیاز به دانش خودش رو داره
hector2000
جمعه 28 تیر 1387, 23:10 عصر
دوستان من بعد از گفتگوهای بسیار تخصصی با مدیر سرورم(سرور امریکایی lunarpage) به یک تضمین نسبتا قابل قبولی رسیدم
مدیر سرورم به من اطمینان داد که غیر فعال کردن این مورد هیچ مشکلی را برای من بوجود نخواهد اورد
به دو دلیل :
1-چون من یک سیستم قابل اطمینان نصب کردم(وی بولتین)
2-این سرور از یکسری نرم افزارهایی دیگری برای ممانعت از اسیب رساندن اسکریپتها و یا هکرها استفاده می کند
موفق باشید
vahid4134
شنبه 29 تیر 1387, 10:42 صبح
دوستان من بعد از گفتگوهای بسیار تخصصی با مدیر سرورم(سرور امریکایی lunarpage) به یک تضمین نسبتا قابل قبولی رسیدم
مدیر سرورم به من اطمینان داد که غیر فعال کردن این مورد هیچ مشکلی را برای من بوجود نخواهد اورد
به دو دلیل :
1-چون من یک سیستم قابل اطمینان نصب کردم(وی بولتین)
2-این سرور از یکسری نرم افزارهایی دیگری برای ممانعت از اسیب رساندن اسکریپتها و یا هکرها استفاده می کند
موفق باشید
در مورد اسکریپت و سایت خودتتون براتون مشکلی رو ایجاد نمی کنه بهتون که عرض کردم برای خود سرور مشکل ایجاد می کنه که باید تنظیمات صحیحی انجام بشه که متاسفانه به دلیل اینکه مدیران سرورها (همشون نه) اطلاعاتی از تنظیم درست ندارند مجبور میشند که safe_mod رو روشن کنند. این شرکتها به هر حال دانش خودشون رو دارند و چه بهتر همیشه از کسی هاست بگیریم که اطلاعات کافی داشته باشه
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.