Witam
Wiem, Âże zaczynam trochĂŞ od koĂąca, bo kwestia bezpieczeĂąstwa powinna mieĂŚ priorytet w dziaÂłaniach na stronie. Nie doÂświadczyÂłem jeszcze! nic zÂłego w zwiÂązku ze sÂłabo zabezpieczonÂą stronÂą. Tak nie bĂŞdzie zawsze, choĂŚ nie nie miaÂłbym nic przeciwko temu. ChciaÂłbym zapeÂłniĂŚ swĂłj brak wiedzy i wÂątpliwoÂści dotyczÂące: - na tej stronie znalazÂłem htaccess_noMefisto_SafeModeOn. Czy wystarczy tym plikiem podmieniĂŚ ten stary na serwerze???
- po zalogowaniu siĂŞ na stronĂŞ jako admin widnieje ramka z komunikatem:
"NastĂŞpujÂące ustawienia PHP na serwerze nie sÂą optymalne ze wzglĂŞdĂłw bezpieczeĂąstwa i zalecana jest ich zmiana:
* Zmienna PHP magic_quotes_gpc ustawiona jest ’OFF’ zamiast ’ON’
Moje pytanie - w ktĂłrym miejscu na serwerze znajdĂŞ tÂą zmiennÂą?
DziĂŞki za pomoc

Pozdrawiam
Januszczyk

W pliku .htaccess ja mam wpisane :

Kod:

SetEnv PHP_VER 4 SetEnv REGISTER_GLOBALS 0 SetEnv ZEND_OPTIMIZER 1 SetEnv MAGIC_QUOTES 1

Nie wiem na ile to bezpieczne ale przynajmniej nie mam komunikatów o b³êdach.

Iceman napisaÂł:
W pliku .htaccess ja mam wpisane :

Kod:

SetEnv PHP_VER 4 SetEnv REGISTER_GLOBALS 0 SetEnv ZEND_OPTIMIZER 1 SetEnv MAGIC_QUOTES 1

Nie wiem na ile to bezpieczne ale przynajmniej nie mam komunikatów o b³êdach.Tylko w Twoim pliku, "Iceman", bo w moim nie, oprócz: "SetEnv PHP_VER 4". Mo¿e nie wiesz, ale Januszczyk pisze o serwerze 60 FREE OVH, a ty jesteœ chyba na 100GP?. Dobrze myœlê?.

Kod:

SetEnv REGISTER_GLOBALS 0

Ten wpis mo¿e wygl¹daÌ tak jak podany poni¿ej, gdy¿ dla PHP spotka³em wiêkszoœÌ wpisów, korzystaj¹cych z dyrektywy php_flag:

Kod:

php_flag register_globals on

..lecz, niestety, ale prawdopodobnie na serwerach OVH nie masz wp³ywu na to ustawienie. Jest ono zawarte w pliku "php.ini", a tylko na nielicznych serwerach administratorzy pozwalaj¹ na dostêp do tego pliku, najczêœciej "dedykowanych". I w³aœnie po to wymyœlono emulacjê "register_globals" , której wartoœÌ mo¿na zmieniÌ w pliku "globals.php":

Kod:

define( 'RG_EMULATION', 0 );

- Emulacja wy³¹czona.

Kod:

define( 'RG_EMULATION', 1 );

- Emulacja w³¹czona.
Sama emulacja RG prawdopodobnie zadziaÂła na wiĂŞkszoÂści serwerĂłw. WywoÂływana jest ona ze skryptĂłw "Joomla", a co oznacza sÂłowo "emulacja", to chyba kaÂżdy wie. DyrektywĂŞ PHP "magic_quotes_gpc" teÂż moÂżna wpisaĂŚ do pliku .htaccess, ale najlepiej w taki sposĂłb:

Kod:

php_value magic_quotes_gpc 1

, z tym Âże, jak pisaÂłem wczeÂśniej, teÂż tylko na wybranych serwerach.
Dlaczego poprawia³em wpisy podane przez Icemana, chocia¿ dla serwera OVH s¹ one prawid³owe. Otó¿, aby komenda (dyrektywa ) "SetEnv" zosta³a wykonana, musz¹ byÌ spe³nione nastêpuj¹ce warunki:

• Status: Podstawowy


• Plik ÂźrĂłdÂłowy: mod_env.c


• Identyfikator moduÂłu: env_module


• KompatybilnoœÌ: DostĂŞpny tylko dla moduÂłu Apache 1.1 lub wyÂższy.

PowyÂższy tekst na podstawie tekstu ÂźrĂłdÂłowego ze strony http://httpd.apache.org/
WiĂŞc wystarczy sprawdziĂŚ, czy taki moduÂł jest zainstalowany w informacjach o systemie, i moÂżna wtedy stosowaĂŚ wpisy podane przez Icemana, w innych przypadkach stosowaĂŚ wpisy podane przeze mnie. Musimy pamiĂŞtaĂŚ, Âże, wedÂług Wikipedii w maju 2006 udziaÂł Apache wÂśrĂłd serwerĂłw wynosiÂł okoÂło 65%. Czyli 35% to Ci uÂżytkownicy, ktĂłrzy korzystajÂą z innych Âśrodowisk w firmach oferujÂących miejsce na serwerach sieciowych. A i takÂże Apache z naszego serwera moÂże korzystaĂŚ tylko z wymienionej na poczÂątku dyrektywy php_flag.
I jeszcze tylko krĂłtka informacja co do pliku .htaccess. Zmienione ustawienia obowiÂązujÂą dla danego katalogu jak i dla wszystkich podkatalogĂłw, jeÂśli tylko dany podkatalog nie jest skonfigurowany jako osobny podserwer - naleÂży zapamiĂŞtaĂŚ, Âże w takim przypadku dziedziczenie ustawieĂą zawartych w .htaccess nie zadziaÂła.
A teraz moja rada:

• Ustaw w pliku "globals.php" RG_EMULATION na 1


• Nie zwracaj uwagi na Âżadne, ¿ó³te komunikaty i ramki w panelu "admina":. To sÂą tylko "sugestie", i wcale nie musisz siĂŞ do nich stosowaĂŚ. U mojego syna ( ja jadĂŞ na Joomla 1.07 ) "zdezaktywowaÂłem" funkcje "jos_security", przez co nie musi oglÂądaĂŚ przeszkadzajÂących w pracy w/w sugestii. Jak ktoÂś jest chĂŞtny, to mogĂŞ zrobiĂŚ ÂłatkĂŞ do Joomla 1.0.11, likwidujÂącÂą tĂŞ funkcjĂŞ. Nic siĂŞ z naszÂą Joomla zÂłego nie stanie. Nie naleÂży przesadnie traktowaĂŚ "spraw bezpieczeĂąstwa", chociaÂż nie wolno je lekcewaÂżyĂŚ. Jak ktoÂś chce mieĂŚ serwer bezpieczny, to polecam OVH 60 FREE, tak mocno krytykowany na "Innym" Forum ( nie ze wzglĂŞdu na powierzchniĂŞ, tylko za ustawienia serwera ). Tam sÂą wszystkie moÂżliwe restrykcje. PrzecieÂż stosujÂąc siĂŞ do w/w "sugestii", tak naprawdĂŞ to ustawiamy serwer, przynajmniej czĂŞÂściowo w tryb Safe Mode On, czyli bezpieczny.


• htaccess_noMefisto_SafeModeOn wystarczy Ci zupeÂłnie. ZmieĂą tylko wersje PHP na 4, dopisujÂąc do pliku .htaccess
  linijkê, cytowana przez "Icemana", czyli ca³oœÌ bêdzie wygl¹daÌ tak:
  

  Kod:

  SetEnv PHP_VER 4 <Files 403.shtml> order allow,deny allow from all </Files> # zone h deny from .zone-h.org deny from .zone-h.com deny from 213.219.122 # cyber-warrior.org deny from .cyber-warrior.org deny from .cyber-security.org deny from 80.237.211.8

  
  60 FREE sÂą serwerami bezpiecznymi, i dopiero jak przejdziesz na 1000GP, to zacznij martwiĂŚ siĂŞ o prawidÂłowÂą konfiguracjĂŞ "Joomla".

Iceman. A co to jest ten "ZEND_OPTIMIZER"?. Korzystasz z czegoÂś takiego?. Napisz, jeÂśli korzystasz, i jakie to przynosi poÂżytki, lub nie. Ok?.

To narka. I pozdro. Jokris.

Jokris napisaÂł:
A co to jest ten "ZEND_OPTIMIZER"?. Korzystasz z czegoÂś takiego?. Napisz, jeÂśli korzystasz, i jakie to przynosi poÂżytki, lub nie. Ok?.

W czasie szperania za "czymÂś" znalazÂłem to OVH Konfiguracja Php. PóŸniej, nie pamiĂŞtam gdzie, czytaÂłem Âże moÂże byĂŚ pomocne. WiĂŞcej informacji moÂżna znaleŸÌ to : Zend Optimizer™
W imie zasady "Co nas nie zabije to nas wzmocni" wpisaÂłem, no i "testuje".

Drodzy koledzy, przetestowaÂłem wszystkie tu wyÂżej wymienione sposoby na poprawienie komunikatu
"Zmienna PHP magic_quotes_gpc ustawiona jest ’OFF’ zamiast ’ON’" (no oprĂłcz: dezaktywacji funkcji "jos_security")
i niestety musze napisaĂŚ Âże nie dziaÂła mi Âżadna z nich

mam konto na serwerze 60 FREE OVH
na pewno dziaÂła opcja SetEnv PHP_VER 5
SetEnv REGISTER_GLOBALS 0 nie wiem bo mam ustawione w pliku globals.php
no ale ja potrzebuje coÂś na zmiane magic_quotes_gpc i tutaj jest lipa

Pytanie do Jokrisa: co miaÂłeÂś na myÂśli mĂłwiÂąc Âże:
60 FREE sÂą serwerami bezpiecznymi, i dopiero jak przejdziesz na 1000GP, to zacznij martwiĂŚ siĂŞ o prawidÂłowÂą konfiguracjĂŞ "Joomla".
czy to znaczy Âże na 60 FREE nie potrzeba juÂż ustawiac podstawowych zabezpieczeĂą jak register globals, magic quotes itp?

Proszê pomó¿cie!

SabeSaK napisaÂł:

czy to znaczy Âże na 60 FREE nie potrzeba juÂż ustawiac podstawowych zabezpieczeĂą jak register globals, magic quotes itp?

Proszê pomó¿cie!
CzeœÌ. W zasadzie nie trzeba, bo serwer 60FREE jest ju¿ tak bardzo "okrojony" z przydatnych funkcji, ¿e s¹dzê ¿e nikt Ci nie jest w stanie zagroziÌ. Gdzieœ 2 lata temu wiele funkcji by³o w³¹czonych, jak np. funkcja Mail (). A obecnie to nawet nie w³¹czysz mod_rewrite. Zapomnij o przyjaznych linkach i innych udogodnieniach. Zapomnij o pozycjonowaniu strony. Nie uda Ci siê to. Serwery 60FREE s¹ maskowane w bazie Whois, a poprzez brak obs³ugi poczty nawet nie zarejestrujesz strony do wiêkszoœci katalogów WWW.. Ja myœlê, ¿e mo¿na na tym serwerze trzymaÌ Joomla!, ale tylko w formie blogu lub jakiejœ strony newsowej.
Smutne, ale prawdziwe. A opisywane powyÂżej funkcje dotyczÂą serwerĂłw 1000GP.