Wer legt sich denn PhpMyAdmin offen zugänglich auf'n Server?
Normalerweise hat man Verzeichnis-Listing ausgeschaltet und verwendet eine halbwegs kryptische URL.
Irgendwelche automatisierten Atacken suchen doch ständig in naheliegenden Unterverzeichnissen danach...
Benutzer wird von Ihnen ignoriert. Anzeigen
security by obscurity? sorry, no. es bleibt kritisch, zusammen mit theoretisch anderen bugs (in beliebiger software), kann man sicher auch an das eigentlich nicht zugängliche phpmyadmin gelangen.
Benutzer wird von Ihnen ignoriert. Anzeigen
Selbst wenn es auf dem Server eine gepflegte Version von PhpMyAdmin für alle zugänglich gibt und diese zu benutzen ist, darf man tagtäglich irgendwelche uralten Versionen aus den Kundenverzeichnissen löschen oder sperren.
--
Dare to be stupid!
Benutzer wird von Ihnen ignoriert. Anzeigen
die meisten kunden probieren alles mal aus und lassen es dann auch liegen. bei uns gabs mal einen "hack" bei einem kunden, auf einmal war in allen möglichen viewscripten ein iframe eingebaut, das was nachladen wollte. gab voll den anschiss, bis wir beweisen konnten, dass irgendein "it"-heini beim kunden vor x jahren mal eine wordpressversion irgendwo auf dem server zu "test"-zwecken installiert hatte und diese nun ungepatcht da rumlag.
bei phpmyadmin ists meist so, dass davon ausgegangen wird, dass der login von phpmyadmin vollkommen ausreicht. da ist kein andere schutz vor. und sobald irgendjemand beim kunden mal selbst was schauen will, oder sie für irgendene miniwebsite nene externen entwickler holen, wird gleich wieder irgendwo erstmal ein phpmyadmin hinkopiert. supernervig oft!
Benutzer wird von Ihnen ignoriert. Anzeigen
0xDEADC0DE schrieb:
--------------------------------------------------------------------------------
> security by obscurity? sorry, no. es bleibt kritisch, zusammen mit
> theoretisch anderen bugs (in beliebiger software), kann man sicher auch an
> das eigentlich nicht zugängliche phpmyadmin gelangen.
Deswegen nutze ich für den PMA eine SSL Client Authentifizierung. Ohne gültiges Zertifikat kommste nicht rein.
Benutzer wird von Ihnen ignoriert. Anzeigen
Kommentare: 383 | letzter Beitrag 10:32 Uhr
Kommentare: 248 | letzter Beitrag 10:03 Uhr
Kommentare: 216 | letzter Beitrag 10:33 Uhr
Kommentare: 155 | letzter Beitrag 25.05. 19:27
Kommentare: 119 | letzter Beitrag 01:19 Uhr
E-Mail an news@golem.de
Die Xbox One beobachtet den Spieler zwingend per Kinect - und könnte die Daten zumindest zum Teil an Microsoft weiterreichen. Sie hat eine 500-GByte-Festplatte und muss zum Spielen nicht immer mit dem Internet verbunden sein.
Eine offene Spielumgebung, sehr schnelle Autos und spannende Verfolgungsjagden kündigt EA für Need for Speed Rivals an. Das Rennspiel auf Basis der Frostbite-3-Engine erscheint auch für die Next-Gen-Konsole.
In nur vier Tagen hat eine Petition für Netzneutralität und gegen DSL-Drosselung die nötige Zahl der Mitzeichner gefunden. Jetzt will der Petent 100.000 erreichen.
Linuxtag 2013 Einige Hard- und Softwarehersteller betreiben enormen Aufwand, um Funktionen auf ihren Geräten einzuschränken. MIT-Forscher Benjamin Mako Hill bezeichnet diese als "Antifeatures" - und sieht freie Software als Möglichkeit, sie einzudämmen.
Nach dem Kauf von Tumblr bietet Yahoo jetzt auch für die Video-on-Demand-Plattform Hulu. Das Unternehmen ist rund 2 Milliarden US-Dollar wert.
Zwei Drittel der Weltbevölkerung sind noch offline. Google X setzt mit einem großen Projekt auf mobiles Internet über TV-Frequenzen, Satelliten und Ballons.