1 Тема от Skip

  • Skip
  • New member
  • Неактивен

    Тема: Безопасность и концептуальные решения

    Добрый день!

    Я присматривался к данному движку пару недель, ставил и тестил. Вообще, всё здорово и достаточно хорошо продумано. Но у меня возникли некоторые вопросы по поводу обеспечения безопасности:

    1) Мне кажется, что в инструкции по установке забыли что-то очень важное, что обычно про другие движки пишут жирными красными буквами в капсе :D Это примечание типа "Внимание!!!!!!!! После установки ОБЯЗАТЕЛЬНО удалите паку INSTALL!" (конкретные названия файлов и папок зависят уже от движка). А в Movable Type что необходимо удалить? Сомневаюсь, что удаление индекса установщика это панацея. Нужно полностью уничтожить все файлы которые участвуют в установке движка. Иначе есть риск того, что недоброжелатель может инициировать процесс инсталляции движка (насчёт базы данных - можно указать находящуюся на внешнем сервере). В результате, вы рискуете, что вашим блогом завладеют третьи лица. Хотелось бы избежать подобной угрозы.

    2) Можно ли инсталлировать движок в папку, защищённую паролем Апач? (в защите админки большого числа движков эта мера сильно помогает). Например, ставим двиг в папку mt/ и защищаем паролем. А потом уже создаём сайт. Насколько такая мера действует и незтребуется ли обращений к директории mt/ во время работы пользователя не использующего админку?

    Спасибо!

    

    2 Ответ от saahov

    • saahov
    • Administrator
    • Неактивен

      Re: Безопасность и концептуальные решения

      Movable Type поэтому и хорош, что безопасность у него на высоте. Изредка появляющиеся обновления по безопасности — это ничто, так как уязвимости не критические и зависят от множества факторов.

      Единственное, что стоит переименовать — mt-check.cgi. Хотя там не содержится никакой особо важной информации.
      Всё остальное, включая скрипты обновления, доступно только администраторам. То есть, если Movable Type уже обновлён, то процесс обновления, во-первых, не удастся запустить, во-вторых — нужно быть авторизованным.

      Защищать папку полностью — не смысла, так как тот же скрипт для отправки комментариев тогда не будет работать. Можно закрыть mt.cgi, но тогда есть риск получить неработающие плагины, хотя я знаю всего один такой.

      

      3 Ответ от XIT

      • XIT
      • Member
      • Неактивен

        Re: Безопасность и концептуальные решения

        Нет предела совершенства безопасности. К сожалению МТ (по крайней мере OS) после установки не создаёт .htaccess c:
        Options -Indexes

        Это первое что бросается в глаза и даёт возможность посмотреть внутренности mt-static. Сама CMS имеет мало известных уязвимостей лишь по причине малой распространённости, так что без иллюзий.

        Отредактировано XIT (03:08:2011 16:56:17)

        

        4 Ответ от saahov

        • saahov
        • Administrator
        • Неактивен

          Re: Безопасность и концептуальные решения

          XIT, никаких иллюзий. Movable Type спроектирован так, чтобы быть безопасным. Когда эта платформа была самой популярной в мире, то и тогда уязвимостей было минимум по сравнению с другими. Плюс разработчики постоянно проводят аудит безопасности, устраняя найденные уязвимости ещё до того, как они будут найдены злоумышленниками (так, кстати, большая часть устраняется).

          А с листингом директорий — тут всё от хостинга зависитю На большинстве хостингов листинг по умолчанию закрыт.

          

          5 Ответ от XIT

          • XIT
          • Member
          • Неактивен

            Re: Безопасность и концептуальные решения

            Здорово если это так на самом деле так.