14. maj 2012 - 12:56Der er
9 kommentarer og 1 løsning
Beskyttelse af XML-fil
Hej eksperter.
Jeg har et .htaccess-beskyttet PHP-admininterface, der bruges til at styre noget indhold i en XML-fil. XML-filen ligger i en parent-folder (altså samme server) og er ikke beskyttet. Indholdet skal kunne hentes af alle.
Problemet er at filen har 777-rettigheder - og i teorien vil fremmede personer kunne lave deres eget script, der uploader til serveren, såfremt de kender XML-filens placering.
Det må ikke ske. Hvordan kan jeg beskytte filen? Kan man lægge beskyttelse på, således at den kun kan ændres, såfremt forespørgslen kommer fra en fil på samme server? Eller har I andre forslag?
Teknologi, AI og forretning er i centrum på Computerworlds Cloud og AI Festival i København d. 18. og 19. september. Se hele programmet for den store konference om strategisk brug af Cloud og AI på: www.cloud-festival.dk
Din server tillader vel ikke upload til vilkaarlige dirs????
Synes godt om
Slettet bruger
14. maj 2012 - 15:35#2
Nej, "kun" til ét bestemt directory og det er begrænset til XML vha. htaccess - men til gengæld kan man i teorien overskrive den eksisterende XML-fil, blot man kender stien.
Servicer det gennem en php fil :), hent og udskriv..
Men 100% enig, det skal da ikke være muligt at ændre det, ellers få sat nogle ip restrictions på den FTP.
/J
Synes godt om
Slettet bruger
14. maj 2012 - 19:12#5
#Arne - det er pga. at jeg har lavet et lille admin-interface, der skriver til en konfigurations-XML-fil og som kan læses af klient-systemer, rundt omkring i verden.
#Jokke - nå ja :) lave en php-fil, hvis eneste opgave er at include XML-filen? Så er risikoen ihvertfald mindre, men det mest optimale vil være at få sat en IP-begrænser på skrivning i folderen. Jeg har søgt diverse steder, men desværre ikke helt fundet noget relevant...
Synes godt om
Slettet bruger
14. maj 2012 - 19:15#6
...og lige en tilføjelse ang. restrictions - XML-filen skal gerne være skrivbar pga. web-admin interfacet, så det hjælper nok næppe noget at sætte IP-begrænser på FTP.
Hvis filen ligger på samme server er det jo næppe noget problem, da der skrives fra serverens ip, gennem admin interface til xml filen.
Eller, det ville heller ikke være et problem hvis admin interfacet lå et andet sted.
Men du kan i hvert fald skjule adressen vha at læse xml filen gennem php, og så bare servicere den som xml/(text|application) til clienterne.
Synes godt om
Slettet bruger
15. maj 2012 - 10:33#8
OK, jeg er bare knap så sikker.
Det drejer sig om et informationsskilt på nogle websites - men det MÅ ikke kunne hackes/crackes/whatever.
Det første jeg ville gøre (hvis jeg var hærværksmand) var at åbne Charles og finde ud af, hvor den XML ligger, som banneret henter sin information fra. Herefter ville jeg lave mit eget lille script, der uploader til den pågældende URL og overskriver den eksisterende XML med mit eget indhold - stadig med samme struktur, men med ændret tekst á la "Anders was here". Det er der i øjeblikket ikke nogen begrænser på.
Dit råd ang. php-servicering vil jeg tage til efterretning - men ved du om man kan begrænse skrivning til en enkelt IP-adresse, f.eks. gennem htaccess? Jeg har ikke kunnet finde noget info om det.
Rettighederne skal du jo nok sætte gennem FTP serveren, eller jeg er ikke så stærk i Apache server hvis man har mulighed for at sætte attributter som 777 der, det kender jeg kun fra FTP.
Men det er nok igennem FTP/Apache ip adgang skal sættes.
Men servicer det gennem en www.domæne.dk/getXml.php
Så kan du skjule stien der, men du bør virkeligt få sikret det xml ark, jeg forstår slet ikke hvorfor det skal have attributten 777 med mindre det er FTP, dit webhotel's "bruger", bør jo have rettigheder til at skrive til diverse filer ?
(sry er microsoft gut)
/J
Synes godt om
Slettet bruger
15. maj 2012 - 12:27#10
Årsagen til at rettighedsgivningen er nødvendig, er at webinterfacet ikke kører FTP, men skriver gennem HTTP.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.