1

Тема: Безопасность и концептуальные решения

Добрый день!

Я присматривался к данному движку пару недель, ставил и тестил. Вообще, всё здорово и достаточно хорошо продумано. Но у меня возникли некоторые вопросы по поводу обеспечения безопасности:

1) Мне кажется, что в инструкции по установке забыли что-то очень важное, что обычно про другие движки пишут жирными красными буквами в капсе :D Это примечание типа "Внимание!!!!!!!! После установки ОБЯЗАТЕЛЬНО удалите паку INSTALL!" (конкретные названия файлов и папок зависят уже от движка). А в Movable Type что необходимо удалить? Сомневаюсь, что удаление индекса установщика это панацея. Нужно полностью уничтожить все файлы которые участвуют в установке движка. Иначе есть риск того, что недоброжелатель может инициировать процесс инсталляции движка (насчёт базы данных - можно указать находящуюся на внешнем сервере). В результате, вы рискуете, что вашим блогом завладеют третьи лица. Хотелось бы избежать подобной угрозы.

2) Можно ли инсталлировать движок в папку, защищённую паролем Апач? (в защите админки большого числа движков эта мера сильно помогает). Например, ставим двиг в папку mt/ и защищаем паролем. А потом уже создаём сайт. Насколько такая мера действует и незтребуется ли обращений к директории mt/ во время работы пользователя не использующего админку?

Спасибо!

2

Re: Безопасность и концептуальные решения

Movable Type поэтому и хорош, что безопасность у него на высоте. Изредка появляющиеся обновления по безопасности — это ничто, так как уязвимости не критические и зависят от множества факторов.

Единственное, что стоит переименовать — mt-check.cgi. Хотя там не содержится никакой особо важной информации.
Всё остальное, включая скрипты обновления, доступно только администраторам. То есть, если Movable Type уже обновлён, то процесс обновления, во-первых, не удастся запустить, во-вторых — нужно быть авторизованным.

Защищать папку полностью — не смысла, так как тот же скрипт для отправки комментариев тогда не будет работать. Можно закрыть mt.cgi, но тогда есть риск получить неработающие плагины, хотя я знаю всего один такой.

3

Re: Безопасность и концептуальные решения

Нет предела совершенства безопасности. К сожалению МТ (по крайней мере OS) после установки не создаёт .htaccess c:
Options -Indexes

Это первое что бросается в глаза и даёт возможность посмотреть внутренности mt-static. Сама CMS имеет мало известных уязвимостей лишь по причине малой распространённости, так что без иллюзий.

Отредактировано XIT (03:08:2011 16:56:17)

4

Re: Безопасность и концептуальные решения

XIT, никаких иллюзий. Movable Type спроектирован так, чтобы быть безопасным. Когда эта платформа была самой популярной в мире, то и тогда уязвимостей было минимум по сравнению с другими. Плюс разработчики постоянно проводят аудит безопасности, устраняя найденные уязвимости ещё до того, как они будут найдены злоумышленниками (так, кстати, большая часть устраняется).

А с листингом директорий — тут всё от хостинга зависитю На большинстве хостингов листинг по умолчанию закрыт.

5

Re: Безопасность и концептуальные решения

Здорово если это так на самом деле так.