On 19 Okt., 07:01, Stig Johansen <wopr...@gmaill.com> wrote:
> Claus Tersgov wrote:
> > Hvilken anden blogsoftware kan I ellers anbefale, som kan køre under
> > Apache og evt php.
>
> Det kan jeg desværre ikke hjælpe med - det blot lidt generelle
> betragtninger.
Hmmm.. da man jo ikke kan være sikker - som Stig siger - på, at alt
vil være sikkert altid med nye plugins, så er det måske smart at tage
det, inden de (botterne) når til selve koden på siden.
Jeg ved ikke, hvordan de Blogscripts er bygget op, så det følgende er
til inspiration, men da det hovedsageligt er forsøg på SQL-injection
eller remote scripting, og da dette ofte foregår via querystring - kan
man måske lave en whitelist på QS, som skal overholdes, før scriptet
vil læse videre.
Jeg har selv (inspireret af Stig) en _meget_ hård whitelisting på QS,
som udføres som noget af det første på mine sider. Jeg tillader ikke,
man bruger andet end bogstaver og tal. Så ';droptable eller hvad de
kan finde på, vil altså blive afvist.
Jeg har faktisk ikke fundet en metode til at injecte via QS, når der
alene må bruges tal og bogstaver.
Selve sårbarheden i et script opstår bl.a., når man sender "rene" data
imellem siderne, i stedet for "data om data", som f.eks. at man
direkte sætter en variabel til at være en URL i stedet for at lade en
værdi i en variabel henvise til denne URL. Det stiller høje krav til,
at man i selve scriptet laver en inputvalidering af en art på
variable, før scriptet udføres, og det er det, som open source
folkene, så vidt jeg forstår, åbenbart ind i mellem glemmer.
Der findes nogle standardmetoder, som bruges til at sikre sine script
imod injections, bl.a også når man har database, de er omtalt på
Wikipdia bl.a.
http://en.wikipedia.org/wiki/SQL_injection#Preventing_SQL_Injection
....men ellers, så ved jeg, at Stig mfl. har omtalt dem i serverside-
grupperne også.
For sjov kunne man godt afprøve forskellige Blogsoftware med en
whitelisting, se om de stadig virker (altså, om de tillader eller ikke
tillader direkte data i variable og om man eller kan lave ballade med
dem). ...det må være til de mørke vinteraftener;)
Mht. spamangreb, som er noget lidt andet, så findes der så vidt jeg
husker en del plugins til gratis Blogscripts/CMSer. Bad behavior er en
af dem jeg har hørt omtalt.
http://www.bad-behavior.ioerror.us/
Nåhja, skal måske lige skrive, jeg er sikkerhedsnørd, ikke
sikkerhedsekspert...
MVH
Rune Jensen