Open Source CMS per definitie onveilig?
Gewijzigd op 17/04/2012 14:13:54 door K Korkmaz
PHP safe mode off is juist aangeraden... xD
Robin Van den Broeck op 17/04/2012 14:13:49:
PHP safe mode off is juist aangeraden... xD
Hij zegt dat SAFE MODE standaard aan staat, omdat dit veiliger is.
Van die instellingen heb ik geen verstand. Maar zelfs PHP zelf raad het niet meer te gebruiken: http://php.net/manual/en/ini.sect.safe-mode.php
Gewijzigd op 17/04/2012 14:19:13 door Wouter J
Een eigen CMS vind ik ook veiliger. Mede omdat bij een groot opensource CMS iedereen in de code kan kijken, bugs kan zoeken en misbruiken (en dan ook erg snel op andere websites). Dit is minder snel het geval bij een eigen CMS. Wilt niet zeggen dat een eigen CMS onveilig is want er zijn nog steeds erg veel mensen die niet veilig scripten (injection, xss, etc..).
Ik heb bij een andere hostingbedrijf navraag gedaan en die vinden het geen probleem als ik CGI-bin gebruik. Deze hosting geeft aan dat een hostingbedrijf zelf verantwoorderlijk is voor de beveiliging.
Zijn reactie hieronder in de mail, nadat hij SAFE MODE uitzette en CGI aandeed(dit moest, omdat anders opencart niet functioneert);
CGI is een (verouderde) taal om verzoeken mee af te handelen, dit gebeurt de laatste jaren eigenlijk volledig met php
> Reden is dat CGI erg onveilig is en veelvuldig wordt gehacked.
> Dit is inzake CGI onze policy, zelfde geld voor alle open source scripting:
Indien cgi scripts oorzaak zijn van een veiligheidslek, schade aanrichten op het systeem of de processor en het geheugen te veel belasten waardoor de technische staf moet ingrijpen is de schade voor rekening van de eigenaar van de website.
Voorwaarden gebruik CGI Scripts
· Je bent te allen tijde verantwoordelijk voor hetgeen je cgi scripts doen.
· Er mogen geen cgi scripts ten behoeve van derden draaien, oftwel je cgi scripts mogen niet buiten je domein om worden aangeroepen.
· CGI scripts mogen geen schade aan het systeem toebrengen, veel tijdelijke files wegschrijven of te veel processortijd in beslag nemen.
· Sommige cgi scripts, zoals mailform.cgi en mail-a-form, zijn niet toegestaan in verband met veiligheidsproblemen.
· De plaatser/onderhouder van het cgi script wordt geacht voldoende kennis te hebben van de taal waarin het cgi script is geschreven om het probleemloos te laten draaien. Zonder deze kennis raden we het plaatsen van cgi scripts af!
· Indien cgi scripts oorzaak zijn van een veiligheidslek, schade aanrichten op het systeem of de processor en het geheugen te veel belasten waardoor de technische staf moet ingrijpen is de schade voor rekening van de eigenaar van de website.
Toevoeging op 17/04/2012 14:39:38:
Wouter J op 17/04/2012 14:16:49:
Open Source CMS is niet per definitie onveilig. Systemen als Drupal, TYPO3 of WordPress kun je gewoon altijd gebruiken.
Van die instellingen heb ik geen verstand. Maar zelfs PHP zelf raad het niet meer te gebruiken: http://php.net/manual/en/ini.sect.safe-mode.php
Van die instellingen heb ik geen verstand. Maar zelfs PHP zelf raad het niet meer te gebruiken: http://php.net/manual/en/ini.sect.safe-mode.php
aldus klinkklare onzin dat het uitzetten van safe mode onveilig is of begrijp ik het verkeerd? Hij verteld dat nu/in de toekomst je safe mode niet meer uit kunt zetten en dat die altijd aan zal blijven in de nieuwere versies van php..
Gewijzigd op 17/04/2012 14:34:41 door K Korkmaz
safe_mode "0" PHP_INI_SYSTEM Removed in PHP 5.4.0.
Standaard staat het dus uit en in de toekomst bestaat het niet meer.
In veel gevallen zijn er extra instellingen en handmatige veranderingen nodig om een systeem veilig(er) te maken, maar dat is idem met een eigen CMS. Ik ben dan ook benieuwd naar hun CMS en of deze wel veilig is. Er komen namelijk net zo vaak verzoeken binnen van websites die zijn gemaakt in een eigen systeem en compleet lek blijken te zijn.
Bottom line; een open source CMS is niet per definitie onveilig, evenals een gesloten CMS. Pas wanneer je zelf de kennis heb om beveiligingsrisico's te achterhalen, zoeken en kan voorkomen heb je een veilig systeem.
Lijkt mij er meer op dat hun servers slecht zijn geconfigureerd?!
Als ik het zo lees wat jouw webhoster voor een voorwaarden stelt, adviseer ik je om gelijk te verhuizen van hoster!
Phoenix Bird op 17/04/2012 18:42:46:
Safe mode wordt ten zeerste afgeraden, daarnaast is er geen enkel probleem met php in cgi mode, en is ook niet verouderd.
Lijkt mij er meer op dat hun servers slecht zijn geconfigureerd?!
Als ik het zo lees wat jouw webhoster voor een voorwaarden stelt, adviseer ik je om gelijk te verhuizen van hoster!
Lijkt mij er meer op dat hun servers slecht zijn geconfigureerd?!
Als ik het zo lees wat jouw webhoster voor een voorwaarden stelt, adviseer ik je om gelijk te verhuizen van hoster!
Ik dank jullie allen voor alle reacties! ik kreeg al gelijk een slecht gevoel met deze persoon/firma. ik had hem verzocht het domein naar een andere hosting te koppelen (dns records aanpassen). dat was geen probleem. Ik denk niet dat die daar blij mee was, maar ik ga niet accoord met zijn voorwaarden.
Gewijzigd op 17/04/2012 19:52:55 door K Korkmaz