Опасно ли данные от ftp передавать get-ом

Тема в разделе "Защита и взлом", создана пользователем zilon, 15 окт 2013.

  1. zilon

    zilon

    Регистр.:
    30 июл 2011
    Сообщения:
    370
    Симпатии:
    147
    скриптом заливаю архив на ftp, скрипт для разархивирования и библиотеку zlib потом гетом передаю данные для доступа по ftp чтобы разархивировать и удалить архив и скрипты. Задумался не опасно ли это? Если ошибка вылезает то там видно...

    PHP:
    Warningfile_get_contents(http://*******/unzip.php?doman=*******&ip=5.199.***.***&login=****&parol=*****
    :eek:

    скриптом пользуюсь только я
     
  2. Дмитрий Кесаев

    Дмитрий Кесаев aka Zlobniy Babko

    Заблокирован
    Регистр.:
    10 май 2007
    Сообщения:
    1.332
    Симпатии:
    1.266
    ну если сам вбиваешь пароль и передаешь через get - то безопасно!
    если пасс вбит в файл - то опаска есть)))
    можно защитить через htaccess паролем...
     
    Последнее редактирование: 15 окт 2013
    zilon нравится это.
  3. BDSG

    BDSG

    Регистр.:
    28 фев 2009
    Сообщения:
    203
    Симпатии:
    109
    обычный ftp траф можно отснифирить.. т.ч. нет, не безопасно.. хотите защищенности - пользуйтесь sftp..
     
    master78 нравится это.
  4. esche

    esche

    Регистр.:
    9 авг 2009
    Сообщения:
    360
    Симпатии:
    243
    Вообще речь не про ftp|sftp а про http-запрос с паролями в GET-строке. Там ни sftp ни ssh не поможет :D
     
    zilon нравится это.
  5. BDSG

    BDSG

    Регистр.:
    28 фев 2009
    Сообщения:
    203
    Симпатии:
    109
    esche, так понимаю по http дергается скрипт, который, в свою очередь, коннектится на некий ftp.. т.ч нормально всё я сказал..
    учитывая, что данные авторизации у ftp передаётся через get заголовок, фактически происходит двойной выстрел в ногу - сначала светим логин/пароль по http, потом по ftp.. т.о. sftp как раз вторую потенциальную утечку предотвратит.. ну и первую - https + post..

    единственно, если всё это дело происходит в пределах одной оси, или виртуалки/ок на одном хосте (или виртуалка - хост, или между jail'ами одной оси, etc), и настроен loopback, то траф пойдёт через localhost.. т.е. на сетевухе даже не появится.. в таком случае да, безопасно.. однако тогда решение с http+ftp становится несколько странным..
     
    zilon нравится это.
  6. esche

    esche

    Регистр.:
    9 авг 2009
    Сообщения:
    360
    Симпатии:
    243
    По http из браузера дёргается адрес, у которого прямым текстом (попадает во все логи хостеров/провайдеров, просматривается на соседних компах в пределах подсети, просматривается всеми установленными плагинами/расширениями/надстройками) логин-пароль передаётся.. Я об этом.
     
  7. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    191
    Ну допустим хостерам/провайдерам и так Ваши пароли все известны. А если и не известны — то узнать их это не бином Ньютона, имеючи полный доступ к файловой системе. А логи сервера — что общедоступны у Вас что ли?
    Ну да, хранится история в браузере, и чо? Отснифить также могут, конечно. Если задаться целью.
    Защищать надо соответственно ценности файлика имхо.
    Самый крутой пароль всё равно может быть снят с помощью ректального криптоанализатора.

    У меня с клиентом случай смешнее был. Он пароли на ФТП хранил в файлике. А файлик случайно положил в папку где шара — так ему удобнее было. А потом пытался на меня наехать, типа это моя ЦМС взломана и она не безопасна. Пришлось доказывать с логами на руках. Хорошо хоть признался в своём косяке и извинился потом :)

    Вывод: почаще делайте бекапы, сложные пароли на Вайфай, и не открывайте на просмотр из подсети рабочий комп.

    //UPD Я понял так, что тема про передачу сделанного Заказчику, с логинами/паролями. Я при сдаче работы обычно передаю 1 PHP файлик. При его запуске он скачивает на сервер скрипты, распаковывает, ставит права, а потом удаляет сам себя. Таким образом, если Заказчик не хочет дать мне логин/пароль на ФТП, то и не надо — пусть сам ставит.
     
    Последнее редактирование: 27 фев 2014
    ishkval нравится это.
  8. ishkval

    ishkval Постоялец

    Регистр.:
    2 окт 2013
    Сообщения:
    102
    Симпатии:
    35
    А если шифрованно передавать всё в куче? Например unzip.php?read=и тут например base64 с солью вида соль1IPсоль2LOGINсоль3PAROLсоль4 и потом функцией explode разбивать на нужные данные вытаскивать из соли нужное, не обязательно base64 можно своё переобразование сделать по типу a => Mn b => nM итд итп и плюс в base64 обернуть.

    А можно сам скриптик сюда под хайд или в личку?)
     
  9. Denixxx

    Denixxx

    Регистр.:
    7 фев 2014
    Сообщения:
    247
    Симпатии:
    191
    Можно и пятку через нос чесать попробовать.
    Если что-то надо конфиденциально — создайте защищенный туннель, лучше физически. Остальное не страхует.
    ХЗ, может завтра. Хотя сам по себе скрипт не очень полезен — нужен ещё запаковщик.

    PS
    Дошли руки, и оформил скрипты на раздачу здесь — https://www.nulled.cc/threads/251414/
     
    Последнее редактирование: 30 апр 2014
    ishkval нравится это.