Viditelny login a heslo do databaze v settings.php
Zdravim, prave davam dohromady muj prvni projekt v Drupalu (7) a vcera jsem porteboval odkomentovat par radku v souboru settings.php (aby se dal pouzit CKEditor). A jake bylo moje prekvapeni, kdyz jsem v tomto souboru uvidel pristupovy login a heslo do me databaze, vse nesifrovane a naservirovane jak na stribrnem podnosu.
Je to normalni? Nemuze se k tomu nekdo z venku dostat? (ani tim nemyslim nejakeho profesionalniho hackera, zas tak naivni nejsem, ale spise nejaky stoural anebo robot)
V reportu primo v Drupalo je napsano, ze web je zabezpeceny tak jak ma. Takze nevim, prijde mi to divne. Je to asi uplne zacatecnicka otazka, ale je to muj prvni „opravdovy web“ (pokud nepocitam par desetistrankovych webu v html co jsem delal jako kluk), takze se radsi ptam nez abych tam nechal nejakou „diru“ hned ze zacatku.
Predem diky za pomoc! S pozdravem, Martin ( http://www.plasticmodelzone.com/beta/ )
PS: ten settings.php ma zabezpeceni „444“
Hlavní RSS kanál
To heslo je takto uložené
To heslo je takto uložené normálně. Mám pocit, že to ani jinak nejde. Ve výskledku je to obdobné, jako když se někam přihlašujete, taky do formuláře píšete nešifrovaně. Pokud report drupalu píše, že je web zabezpečený tak jak má, tak by mělo být vše ok a neměl bych obavu ze šťouralů a robotů.
Diky za info
Dekuji za informaci. Myslel jsem si to, ale radsi jsem se chtel ujistit… Holt vidim, ze web na serveru prinasi par starosti navic oproti localhostu!
Diky, Martin
V zásade je dôležité, aby ten
V zásade je dôležité, aby ten súbor mal nastavené správne práva. Ja ich nastavujem na r-------- (0400), čo znamená, že čítať ten súbor môže len vlastník.
Poslat nový komentář