Συμβαίνει συχνά να μας προσφέρεται να ακολουθήσουμε έναν σύνδεσμο.
Και φοβόμαστε. Επειδή δεν είμαστε σίγουροι ότι ο ιστότοπος στον οποίο πηγαίνουμε είναι ασφαλής για τον υπολογιστή μας.

Ελέγχω όλους τους άγνωστους συνδέσμους στον ιστότοπο Virustotal.com/ru.
Υπάρχουν όμως πολλές άλλες τοποθεσίες στο Διαδίκτυο όπου μπορείτε να κάνετε το ίδιο. Και επειδή επέλεξα το Virustotal για μένα, θα εξηγήσω χρησιμοποιώντας το παράδειγμα αυτού του συγκεκριμένου ιστότοπου.

Επίσης, μπορείτε να ελέγξετε την ασφάλεια του συνδέσμου στο Dr.WEB
σε πραγματικό χρόνο, online - χωρίς να φύγετε από αυτήν τη σελίδα.
Στο κάτω μέρος της σελίδας - Ιστότοπος Dr.WEB, για έλεγχο συνδέσμων.

στο Virustotal.com/en. σε πραγματικό χρόνο, διαδικτυακά

Πρώτον, για να ελεγχθεί ο σύνδεσμος στα ρωσικά -
πρέπει να μεταβείτε στο Virustotal.com/ru με ένα πρόγραμμα περιήγησης Google Chromeή Internet Explorer. Επειδή Mozilla Firefox, Safari και Opera δεν μεταφράζουν αμέσως το κείμενο από τα αγγλικά στα ρωσικά. Παρακάτω είναι ένα στιγμιότυπο οθόνης του Virustotal.com/en που έχει ανοίξει στο πρόγραμμα περιήγησης Safari.

Φυσικά, μπορείτε να ελέγξετε τον σύνδεσμο χωρίς μετάφραση. Για να το κάνετε αυτό, κάντε κλικ στο σύνδεσμο "σάρωση διεύθυνσης URL" (υπογραμμισμένο με κόκκινο χρώμα). Θα ανοίξει μια παρόμοια καρτέλα όπου πληκτρολογείτε τη διεύθυνση URL, π.χ. τον σύνδεσμο που θέλετε να ελέγξετε και, στη συνέχεια, κάντε κλικ στο μεγάλο μπλε κουμπί «Σάρωση μέσα!» παρακάτω. (σάρωση) και μετά από σύντομο χρονικό διάστημα θα σας δοθεί το αποτέλεσμα. Αλλά και στα αγγλικά.

Πώς να ελέγξετε ένα ύποπτο αρχείο σε έναν υπολογιστή στο Virustotal.com

Πώς να ελέγξετε ένα αρχείο από έναν υπολογιστή
για ιούς και trojans στο Virustotal.com/ru

Όπως μπορείτε να δείτε στο επάνω μέρος του στιγμιότυπου οθόνης, στη γραμμή "Αναλογία ανίχνευσης:" υπάρχει ένα κλάσμα 0/20. Το μηδέν στα αριστερά σημαίνει ότι κανένας από τους σαρωτές που εμπλέκονται στον έλεγχο αυτού του συνδέσμου δεν βρήκε κάτι κακόβουλο στον ελεγμένο ιστότοπο. Εάν ένας ή περισσότεροι σαρωτές εντοπίσουν κάτι αρνητικό στον ιστότοπο που ελέγχεται, τότε αντί για τον αριθμό 0 θα υπάρχει ένας αριθμός που υποδεικνύει τον αριθμό των αρνητικών κριτικών και το χρώμα αυτού του αριθμού δεν θα είναι πλέον πράσινο, αλλά κίτρινο ή κόκκινο.

Ο αριθμός 20 στα δεξιά - δείχνει τον αριθμό των συμμετεχόντων
στην ανίχνευση διευθύνσεων URL και στην τοποθέτηση μιας κριτικής "καθαρού ιστότοπου" στον πίνακα. Και αν ένας ή περισσότεροι σαρωτές εντοπίσουν κάτι αρνητικό στον ιστότοπο που ελέγχεται, τότε αντί για μια "καθαρή τοποθεσία" πράσινου χρώματος, θα υπάρχει έλεγχος ότι ο ιστότοπος και το χρώμα αυτής της καταχώρισης δεν θα είναι πλέον πράσινο. "Μη αξιολογημένοι ιστότοποι" στα αποτελέσματα ανίχνευσης - σημαίνει "μη αξιολογημένοι".

Το εικονίδιο στο επάνω δεξιό μέρος υποδεικνύει τη φήμη του επιλεγμένου συνδέσμου. Ένας κόκκινος αντίχειρας προς τα κάτω και ένας αριθμός δείχνει αρνητικές κριτικές, ένας πράσινος αντίχειρας και ένας αριθμός δείχνει καλές κριτικές.

Δεδομένου ότι ο ιστότοπός μου, τη στιγμή αυτής της αξιολόγησης, είναι μόλις πέντε μηνών -
τότε είναι πολύ φυσικό να υπάρχουν μηδενικά στο εικονίδιο σχετικά με τη φήμη του ιστότοπου.
Ούτε κακός ούτε καλός.

Πώς να ελέγξετε έναν σύνδεσμο από το Διαδίκτυο δωρεάν
στο Dr.WEB σε πραγματικό χρόνο, διαδικτυακά

Πρόσφατα, το Διαδίκτυο έχει γίνει ο κύριος βιότοπος για τους ιούς, αφού μόνο εκεί μπορούν αποτελεσματικά εξάπλωσησε υπολογιστές χρηστών. Οι εποχές που τα συστήματα μολύνθηκαν μέσω δίσκων ή καρτών flash έχουν περάσει. Με την αύξηση του όγκου των πληροφοριών που λαμβάνονται, ο αριθμός των μολυσμένων υπολογιστών έχει αυξηθεί, καθώς οι χρήστες αντιλαμβάνονται την απειλή από το Διαδίκτυο ως κάτι αφηρημένο και κάτι που δεν τους επηρεάζει.

Δυστυχώς, δεν είναι. Η παραμέληση των βασικών αρχών της ασφάλειας μπορεί να θέσει σε κίνδυνο τα δεδομένα μας που είναι αποθηκευμένα σκληροι ΔΙΣΚΟΙ. Οι μολύνσεις υπολογιστών μεγάλων εταιρειών έγιναν ενδεικτικές ιός ransomware, το οποίο εκβίαζε χρήματα για ξεκλείδωμα και με άλλο τρόπο κρυπτογραφούσε τα δεδομένα. Οι περισσότεροι από αυτούς το κόλλησαν λόγω της συνηθισμένης απροσεξίας.

Πρόληψη λοιμώξεων

Πρώτα απ 'όλα, πρέπει να χρησιμοποιήσετε προγράμματα προστασίας από ιούς. Οι περισσότεροι από αυτούς είναι ικανοί φίλτροκίνηση, προώθηση προειδοποίησηχρήστες σχετικά με τον κίνδυνο που ελλοχεύει ο πόρος που ανοίγει. Ακόμη και δωρεάν εκδόσειςμπορεί να βελτιώσει σημαντικά την προστασία του υπολογιστή σας.

Δεύτερον, πρέπει να πάτε στο προγράμματα περιήγησης, στο οποίο είναι ενσωματωμένο έλεγχος ιστότοπου. Προειδοποιούν για τον κίνδυνο που περιμένει τους χρήστες σε έναν συγκεκριμένο ιστότοπο. Ενα απ 'αυτά - Το πρόγραμμα περιήγησης Yandex. Ενσωματωμένο σε αυτό από προεπιλογή συνδέω, σαρώνοντας τον ιστότοπο και περιορίζοντας την πρόσβαση σε ειλικρινά κακόβουλους πόρους. Εάν ο χρήστης προσπαθήσει να αποκτήσει πρόσβαση σε μια τέτοια σελίδα, θα δει μια προειδοποίηση σχετικά με τον κίνδυνο και μια πρόταση να κλείσει την καρτέλα.

Τρίτον, προσπαθήστε μην περνάτεσε ύποπτους συνδέσμους στα κοινωνικά δίκτυα. Η ίδια η Vkontakte προειδοποιεί ότι ο ιστότοπος μπορεί να είναι επικίνδυνος, επομένως μην παραμελείτε τις συμβουλές της υπηρεσίας. Οι περισσότερες λοιμώξεις συμβαίνουν με αυτόν τον τρόπο.

Χρήση του Google για επαλήθευση

Αυτή η επιλογή είναι κατάλληλη για κατόχους ιστοτόπων που θέλουν να βεβαιωθούν ότι οι δημιουργίες τους δεν βλάπτουν τους χρήστες. Παγκόσμιος Ιστός. Εάν ο ιστότοπος δεν ανήκει σε εσάς, τότε δεν θα μπορείτε να τον ελέγξετε μέσω των μηχανών αναζήτησης.

Για να ξεκινήσουμε, ας πάμε στο πάνελ webmaster. Βρίσκεται στη διεύθυνση google.com/webmasters/tools/home (πρέπει να είστε συνδεδεμένοι στο Λογαριασμός Google). Μετά από αυτό, κάντε κλικ στο κουμπί " Προσθήκη πόρου” και εισαγάγετε τον σύνδεσμο προς τον ιστότοπο στο πλαίσιο. Μετά από αυτό, πατήστε " Προσθήκη».

Μετά από αυτό, θα χρειαστούμε επιβεβαιώνωδικαιώματα τοποθεσίας. Για αυτό πρέπει να τοποθετήσετε Πρότυπο HTMLστον πόρο, ώστε η Google να μπορεί να μας αναγνωρίσει. Εκτελούμε όλες τις ενέργειες από τις οδηγίες και κάνουμε κλικ στο " Επιβεβαιώνω».

Μετά την επιβεβαίωση, μπορούμε να δούμε όλες τις πληροφορίες σχετικά με τον ιστότοπό μας. Για να το κάνετε αυτό, επιλέξτε την καρτέλα " Θέματα ασφάλειας". Εάν υπάρχουν ιοί στη σελίδα, το σύστημα θα μας ειδοποιήσει σχετικά. Αν όχι, θα δούμε μια τέτοια εικόνα.

Yandex για έλεγχο για ιούς

Σε γενικές γραμμές, στο Yandex επαναλαμβάνουμε την ίδια διαδικασία όπως στο Google:

Doctor Web και Kaspersky

Ως επί το πλείστον, ελέγχοντας τον ιστότοπο μέσω αυτών των δύο υπηρεσιών, μπορείτε να είστε 97% σίγουροι ότι ο ιστότοπος δεν περιέχει ιούς. Αυτά τα εργαστήρια έχουν αφιερώσει χρόνια στην ανάπτυξη προγράμματα προστασίας από ιούςάρα δεν υπάρχει λόγος αμφιβολίας για την αρμοδιότητά τους. Ας ξεκινήσουμε με το Doctor Web.

Πάμεστον επίσημο ιστότοπο vms.drweb.ru/online. Εκτός από τον έλεγχο για ιούς, μπορείτε να δείτε μια εκτενή επιλογή πληροφορίεςγια τους ιούς και τη διάδοσή τους. Το κύριο μέρος της σελίδας είναι η γραμμή διευθύνσεων στη μέση, στην οποία εισάγετε το σύνδεσμοστον πόρο που ελέγχεται και κάντε κλικ στο " Επαληθεύω».

Μετά από λίγο θα πάρουμε Λεπτομερής περιγραφήοι έλεγχοι που πραγματοποιήθηκαν, καθώς και ένα συμπέρασμα σχετικά με τον κίνδυνο ή την ασφάλεια της σελίδας.

Δουλειά " Kasperskyχτίζεται στην ίδια αρχή. Ωστόσο, εδώ μπορούμε επίσης να ελέγξουμε αρχεία. Εισαγω URLστη γραμμή διευθύνσεων και κάντε κλικ επαληθεύω.

Σε αντίθεση με την προηγούμενη υπηρεσία, δεν φορτωνόμαστε με τα στοιχεία του ελέγχου, αλλά δίνουμε αμέσως το αποτέλεσμα.

Άλλες διαδικτυακές υπηρεσίες

Εκτός από αυτές που έχουν ήδη εξεταστεί, υπάρχουν και άλλες υπηρεσίες για τον έλεγχο των συνδέσμων:

6 Μαρτίου 2015 στις 00:43

Έλεγχος ασφάλειας ιστοτόπων - εντοπισμός κινδύνων και απειλών

• Ασφάλεια Πληροφοριών

Έλεγχος ασφάλειας ιστότοπου (έλεγχος του ιστότοπου για τρωτά σημεία) - μια σειρά διαδικασιών που στοχεύουν στη διασφάλιση σταθερή λειτουργίαπόρος Ιστού, ασφάλεια δεδομένων και μείωση κινδύνου.

Δεν είναι μυστικό ότι η οικονομική κατάσταση υπαγορεύει τώρα νέους κανόνες, συμπεριλαμβανομένου του ανταγωνισμού. Αν νωρίτερα ο «πόλεμος των τεχνολογιών», η κατασκοπεία στον κυβερνοχώρο και οι καταστροφικές ενέργειες ήταν κυρίως η παρτίδα μεγάλων εταιρειών ή ολόκληρων κρατών, τώρα αυτές οι μέθοδοι χρησιμοποιούνται με μεγάλη επιτυχία σε μικρές και μεσαίες επιχειρήσεις.

Ας αφήσουμε στην άκρη τους ιστότοπους εταιρειών εκτός σύνδεσης προς το παρόν και σήμερα θα μιλήσουμε για εμπορικούς ιστότοπους, των οποίων το κύριο εισόδημα σχετίζεται με δραστηριότητες στο Διαδίκτυο.

Ο έλεγχος ασφάλειας τοποθεσίας είναι ένα σύνολο εργασιών για τον εντοπισμό σφαλμάτων στον κώδικα του ιστότοπου και λογισμικόδιακομιστές που μπορούν να χρησιμοποιήσουν οι εισβολείς για να επιτεθούν και να χακάρουν τον ιστότοπο.

Το κίνητρο που χρησιμοποιούν οι επιτιθέμενοι μπορεί να είναι διαφορετικό - είναι τόσο το καύχημα όσο και η αναζήτηση οφελών τόσο για τους ίδιους προσωπικά όσο και εργάζονται για μια «παραγγελία».

Από τα τελευταία παραδείγματα "υψηλού προφίλ" - παραβίαση του ανταλλακτηρίου ανεξάρτητων επαγγελματιών FL.ru

στιγμιότυπο οθόνης του μηνύματος του εισβολέα για λογαριασμό ενός από τους διαχειριστές

Εδώ, ο πόρος έχει υποστεί σαφώς ζημιά στη φήμη του, η αφοσίωση των χρηστών έχει μειωθεί. Μπορεί να είναι δύσκολο να προσελκύσετε νέους χρήστες: www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
Ως αποτέλεσμα της αναζήτησης GOOGLE SERPκατόπιν αιτήματος της FL.RU, το δεύτερο είναι ένα θέμα στο Habré σχετικά με την αποστράγγιση της βάσης χρηστών.

Τι θα έδινε ένας έλεγχος ασφαλείας της ανταλλαγής FL.RU - η επιλογή κωδικών πρόσβασης για λογαριασμούς διαχειριστή πόρων θα βοηθούσε στον εντοπισμό αυτών Λογαριασμοί. Πρόσθετες συστάσεις και κανόνες για την τήρησή τους θα βοηθούσαν να αποφευχθεί μια τέτοια ατυχής παράβλεψη. Η έλλειψη περιορισμού της πρόσβασης σε κρίσιμες λειτουργίες (λογαριασμοί χρηστών) από μη αξιόπιστη διεύθυνση IP μόνο επιδείνωσε την κατάσταση.

Οι κίνδυνοι φήμης από την παραβίαση της ιστοσελίδας της εταιρείας θα επηρεάσουν φυσικά την κερδοφορία της εταιρείας. Αλλά υπάρχει επίσης μια άμεση απειλή κλοπής δεδομένων που είναι πολύτιμα για την εταιρεία. Ιστοσελίδα της εταιρείας που σχετίζεται με διαδικτυακές δραστηριότητες - ηλεκτρονικό κατάστημα, ηλεκτρονική ανταλλαγή κ.λπ. - το κύριο εργαλείο για την απόκτηση κέρδους - περιέχει συχνά μια βάση δεδομένων πελατών, ακόμη πιο πολύτιμη εάν η υπηρεσία περιλαμβάνει μακροχρόνια εργασία με τον πελάτη, επαναλαμβανόμενες αγορές κ.λπ.

Επίσης, η χειραγώγηση των δεδομένων πληρωμών, οι δόλιες συναλλαγές σε συστήματα κατάθεσης/ανάληψης ή συστημάτων πληρωμών μπορεί να προκαλέσουν μεγάλη ζημιά στην εταιρεία.

Οι εισβολείς που επιτίθενται στον ιστότοπο μπορούν να χωριστούν υπό όρους σε δύο τύπους:

1. Παίρνουμε ό,τι ψεύδεται άσχημα.

Αυτού του είδους οι εισβολείς προσπαθούν να αποκτήσουν πρόσβαση σε μεγάλο αριθμό τοποθεσιών, χρησιμοποιούν πρωτόγονες τεχνικές, «θόρυβο στα αρχεία καταγραφής». Τυπικά, τέτοιοι φορείς σαρώνουν τους ιστότοπους με δημοφιλείς σαρωτές ευπάθειας ή αναζητούν ευάλωτα CMS για μια συγκεκριμένη εκμετάλλευση. Μπορεί να ενδιαφέρονται τόσο για τη βάση χρηστών όσο και για το κοινό iframe στο λεγόμενο. exploit-pack.

αναζήτηση συνεργών για τη διάπραξη αδικήματος σύμφωνα με το άρθρο 273 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας

Ένας έγκαιρος έλεγχος ασφαλείας εφαρμογών Ιστού θα βοηθήσει στον εντοπισμό ευάλωτων στοιχείων και προβληματικών περιοχών του ιστότοπου. Οι συστάσεις θα σας βοηθήσουν να είστε έτοιμοι να αποκρούσετε επιθέσεις χάκερ.

2. Επιτιθέμεθα σε συγκεκριμένο στόχο.

Αυτοί οι τύποι εισβολέων έχουν συνήθως κίνητρο να αποκτήσουν ορισμένα δεδομένα ή να τα καταστρέψουν:

ανακοινώσεις σε φόρουμ "σχεδόν χάκερ".

Σε αυτήν την περίπτωση, ο εισβολέας δεν θα περιοριστεί σε παθητικές μεθόδους - πιθανότατα θα επιτεθεί στον ιστότοπο μέχρι να πάρει το επιθυμητό αποτέλεσμα, χρησιμοποιώντας όλους τους πιθανούς συνδυασμούς διανυσμάτων επίθεσης.

Ένας ολοκληρωμένος έλεγχος ασφαλείας, ο οποίος συνήθως περιλαμβάνει τις ακόλουθες ενέργειες, μπορεί να συμβάλει στη σημαντική αύξηση της ασφάλειας ενός ιστότοπου:

• Αναζήτηση για τρωτά σημεία σε στοιχεία διακομιστή.
• Αναζήτηση για τρωτά σημεία στο περιβάλλον web του διακομιστή.
• Έλεγχος για απομακρυσμένη εκτέλεση αυθαίρετου κώδικα.
• Έλεγχος για ενέσεις (ένεση κωδικού).
• Προσπάθειες παράκαμψης του συστήματος ελέγχου ταυτότητας πόρων Ιστού.
• Έλεγχος ενός πόρου Ιστού για τρωτά σημεία "XSS" / "CSRF".
• Προσπάθειες υποκλοπής προνομιακών λογαριασμών (ή περιόδων σύνδεσης τέτοιων λογαριασμών).
• Προσπάθειες εκτέλεσης απομακρυσμένης συμπερίληψης αρχείων / τοπικών συμπερίληψης αρχείων.
• Αναζήτηση στοιχείων με γνωστά τρωτά σημεία.
• Ελέγξτε για ανακατευθύνσεις σε άλλους ιστότοπους και ανοίξτε τις ανακατευθύνσεις.
• Σάρωση καταλόγων και αρχείων με χρήση ωμής βίας και "google hack".
• Ανάλυση φορμών αναζήτησης, εντύπων εγγραφής, εντύπων εξουσιοδότησης κ.λπ.
• Έλεγχος του πόρου για τη δυνατότητα ανοιχτής απόκτησης εμπιστευτικών και μυστικών πληροφοριών.
• Επιθέσεις κατηγορίας αγωνιστικής κατάστασης.
• Ενσωμάτωση οντοτήτων XML.
• Επιλογή κωδικών πρόσβασης.

Ο έλεγχος ασφάλειας ιστότοπου είναι ένα προληπτικό μέτρο που σας επιτρέπει να λάβετε μια επαρκή αξιολόγηση της ασφάλειας ενός εταιρικού πόρου, πλήρεις πληροφορίεςσχετικά με τα τρωτά σημεία που εντοπίστηκαν, πιθανά σενάριαεπιθέσεις και συστάσεις για την εξάλειψή τους. Αυτό, στην πραγματικότητα, δεν είναι ένα γεγονός, αλλά μια συνεχής διαδικασία για τη διασφάλιση της ασφάλειας των επιχειρηματικών διαδικασιών της ιστοσελίδας της εταιρείας, τη διατήρηση της επιχειρηματικής φήμης, την οικονομική ανάπτυξη και την επιχειρηματική ανάπτυξη.

Μην περιμένετε έως ότου ο ιστότοπός σας δεχθεί επίθεση από εισβολείς - παραγγείλετε έναν ολοκληρωμένο έλεγχο ασφάλειας ιστότοπου από επαγγελματίες.

Πώς ξέρετε εάν ο ιστότοπος που επισκέπτεστε είναι ασφαλής; Είναι επικίνδυνο να αγοράσετε κάτι σε αυτό και πόσο κατάλληλο είναι το περιεχόμενό του για παιδιά;

Για να γίνει αυτό, τα δημοφιλή προγράμματα προστασίας από ιούς διαθέτουν ενσωματωμένο σύστημα αξιολόγησης ιστότοπου. Τις περισσότερες φορές, λειτουργεί με βάση τις ψήφους των ίδιων των χρηστών. Υπάρχει ένα παρόμοιο σύστημα, για παράδειγμα, στο Avast διαδικτυακή ασφάλεια. Αλλά υπάρχει ένα μικρό "αλλά" - σχεδόν όλα τα προγράμματα προστασίας από ιούς με παρόμοιες λειτουργίες πληρώνονται! Και, ως αποτέλεσμα της αμειβόμενης φύσης τους, έχουν ένα μάλλον περιορισμένο κοινό, πράγμα που σημαίνει ότι μόνο ένας μικρός αριθμός από αυτούς μπαίνει στη βαθμολογία αξιολόγησης ιστότοπου!

Βρήκα λοιπόν μια καλύτερη λύση για τον εαυτό μου. Ονομάζεται Web Of Trust.

Web Of Trust δωρεάν υπηρεσίααξιολογήσεις αξιοπιστίας τοποθεσίας.

Αρχή λειτουργίας

Στην πραγματικότητα, πρόκειται για ένα ειδικό gadget για το πρόγραμμα περιήγησης, το οποίο όταν ανοίξει, ΝΕΑ ΣΕΛΙΔΑκοντά γραμμή διεύθυνσηςδείχνει τη βαθμολογία του με τη μορφή έγχρωμου εμβλήματος. (Μπορεί να χρωματιστεί από έντονο πράσινο έως έντονο κόκκινο) Και όσο πιο πράσινο είναι το έμβλημα (δείκτης της αξιοπιστίας του ιστότοπου, αν θέλετε), τόσο πιο ασφαλής είναι ο ιστότοπος. Και αντίστροφα - αν το εικονίδιο γίνει κόκκινο - κάτι δεν πάει καλά με αυτόν τον ιστότοπο ...

Και κατεβάστε το κάνοντας κλικ στο κόκκινο κουμπί στα δεξιά. Θα επισυνάψω επίσης μια σύντομη οδηγία σε εικόνες για την εγκατάσταση του πρόσθετου στον Internet Explorer:

Εκτελέστε το πρωτόκολλο "phpinfo()" και ελέγξτε τη γραμμή με την εντολή "open_basedir". Με αυτήν την εντολή, μπορείτε να ορίσετε τον βασικό κατάλογο για όλους τους χρήστες. Αφού ορίσουν αυτήν την τιμή, δεν θα μπορούν πλέον να ανοίγουν αρχεία εκτός αυτού του ριζικού φακέλου ή των υποκαταλόγων του, όπως "C:\Windows".

Εάν έχετε άλλους δομικούς καταλόγους, ορίστε τους ως τον βασικό κατάλογο με την εντολή "www_root". Ωστόσο, ένας χρήστης θα μπορεί επίσης να διαβάσει και να τροποποιήσει τα αρχεία ενός άλλου χρήστη. Αυτό πρέπει να αποτραπεί.

Δυστυχώς, δεν υπάρχουν επιλογές στο αρχείο "php.ini" που να εμποδίζουν έναν χρήστη να έχει πρόσβαση στα δεδομένα ενός άλλου.

Υπάρχει όμως ένα ενδιαφέροντα τρόποεάν η PHP εκτελείται σε Apache. Στο "phpinfo()" θα βρείτε δύο στήλες: "Κύρια τιμή" και "Τοπική τιμή". Η πρώτη είναι η τιμή στο "php.ini". Η δεύτερη είναι μια τιμή που καθορίζεται κατά τη λειτουργία του διακομιστή.

Εάν η τιμή βάσης είναι μικρή σε αριθμητική άποψη, τότε μπορεί να αλλάξει στο σενάριο χρησιμοποιώντας την εντολή "ini_set ()". Αυτό δεν ισχύει για το "open_basedir", επειδή αυτή η τιμή είναι κρίσιμης σημασίας για την ασφάλεια και μπορεί να αλλάξει μόνο από έναν διαχειριστή.

ΣΤΟ Διαμόρφωση Apacheτο αρχείο "httpd.conf" μπορεί να καθοριστεί στον κατάλογο κάτω από την τοπική τιμή "open_basedir".

Άλλες ρυθμίσεις PHP

Ορίζοντας "disable_functions" στο αρχείο "php.ini", είναι απαραίτητο να απενεργοποιήσετε λειτουργίες που είναι δυνητικά επικίνδυνες.
Σκεφτείτε προσεκτικά κάθε ενέργεια που κάνετε. Η απενεργοποίηση της λειτουργίας σημαίνει ότι ορισμένα σενάρια θα σταματήσουν να λειτουργούν.

Ορισμένες λειτουργίες είναι πραγματικά επικίνδυνες και συνήθως δεν απαιτούνται για τη δημιουργία σεναρίων. Άλλα - μπορεί να είναι απαραίτητα για ορισμένους σκοπούς. Επομένως, δεν είναι εύκολο να απενεργοποιήσετε όλες τις λειτουργίες που μπορεί να είναι επικίνδυνες, αλλά και να σταθμίσετε προσεκτικά τις αποφάσεις σας.

Μην πιστεύετε ότι μια λειτουργία "safe_mode = On" θα είναι αρκετή. Μπορεί να απενεργοποιήσει μερικά χρήσιμα χαρακτηριστικάκαι να μην λύσει το πρόβλημα ασφαλείας που περιγράφεται παραπάνω. Λειτουργία ασφαλείαςκαταργήθηκε στην PHP 5.3.0 και καταργήθηκε στην PHP 6.0.0.

Θέματα άμυνας

Υπάρχουν πολλά λάθη που μπορεί να κάνει ένας προγραμματιστής ιστού και να κάνει έναν ιστότοπο ανασφαλή.

Για παράδειγμα, εάν δημιουργείτε το ιστολόγιό σας και επιτρέπετε στους χρήστες να ανεβάζουν εικόνες, αυτό μπορεί να είναι μεγάλος κίνδυνος όταν ο κώδικας γράφεται από έναν αρχάριο. Υπάρχουν αρκετά λάθη που μπορεί να κάνει ένας προγραμματιστής στη σελίδα σύνδεσης κ.λπ. Ένα από τα πιο συνηθισμένα είναι η έλλειψη απαγόρευσης λήψης κακόβουλων αλγορίθμων.

Το σημαντικό σημείο είναι ότι ένας μη ασφαλής ιστότοπος στη δημόσια φιλοξενία αποτελεί απειλή για ολόκληρο τον διακομιστή. Επίσης, η εγκατάσταση έργων ανοιχτού κώδικα όπως το PHP-Nuke μπορεί να είναι επικίνδυνη. Έχουν ήδη ανακαλυφθεί αρκετά τρωτά σημεία σε τέτοια έργα.