Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 60
! УЖЕ ПОМОГЛО ! спасибо. Сижу на новой работе за проксей, а регулярно надо подмогнуть людям которые с ними занимаются.
Я дико извиняюсь, если вас не затруднит, вы не могли бы дополнить топик описанием функционала? Вы как человек пользующийся... а то просто совсем труба с временем( А если это то, что я думаю - о боже, вот оно счастье)
отличная вещь, только не развивается давно (2004-11-24 последний релиз)
http://cb.vu/
Издеваетесь, такое на http вешать?
А может лучше сразу выйти на улицу и написать на асфальте логин/пароль к серверу?
А может лучше сразу выйти на улицу и написать на асфальте логин/пароль к серверу?
Проблему решает защита .htaccess. Плюс сама софтина имеет встроенный механизм HTTP-авторизации.
К тому же, это временная вещь - вешается для определенных нужд девелопера/админа, после использования сразу же убирается.
Если вы не понимаете сути проблемы, а пытаетесь заверить что проблема отсутствует, то я помочь не могу.
Что-то я Вас не очень понимаю. Объясните.
Объясняю - информация в протоколе http передаётся в открытом виде и доступна для прослушивания на всех узлах по пути следования пакетов и даже более.
А что там особенного передается? Там нет никаких деталей доступа к серверу, команды выполняются от имени пользователя php, программа после использования удаляется.
Повторяю - она нужна НЕ для постоянного использования, а полезна как единовременный инструмент для разработчика/админа для быстрого решения проблем.
Повторяю - она нужна НЕ для постоянного использования, а полезна как единовременный инструмент для разработчика/админа для быстрого решения проблем.
вот скажите, зачем используют ssh подключение?
Например, удобно совершать какие-то действия, которые трудно/невозможно сделать по FTP, например:
- chmod большого колличества файлов
- архивация файлов для последующего скачивания/закачивания
- работа с БД
Это только небольшая часть.
- chmod большого колличества файлов
- архивация файлов для последующего скачивания/закачивания
- работа с БД
Это только небольшая часть.
ясно, но почему тогда не соединяются обычным telnet соединением без всяких секьюрных надстроек?
Вы наверное немного меня не поняли. Эта программа не использует никаких ssh ни telnet. Она использует стандартные функции php (exec(), system() и т.п.) для работы с командной строкой сервера.
Программа полезна тогда, когда провайдер (хостер) не дает ssh/telnet доступ к серверу. Этот софт позволяет упростить работу в таких случаях. В остальных случаях ssh предостаточно.
Программа полезна тогда, когда провайдер (хостер) не дает ssh/telnet доступ к серверу. Этот софт позволяет упростить работу в таких случаях. В остальных случаях ssh предостаточно.
куда б не ставили этот скрипт, но если хостер не даёт https, то грош-цена всему.
механизм http-авторизации передаёт логин-пароль всё тем же открытым способом. и чтобы он каждый раз не гонял по сети: пароль или id сессии, он всё равно передаёт это открыто.
механизм http-авторизации передаёт логин-пароль всё тем же открытым способом. и чтобы он каждый раз не гонял по сети: пароль или id сессии, он всё равно передаёт это открыто.
кхм, и ещё такой вопрос, в чём отличие ssh от telnet?
Читайте больше литературы.
Хм, это немного не в тему, я думаю стоит отложить в сторону жезл Понтониум ^_^
Просто у человека еще никто не угонял пароль сниффером.
Просто у человека еще никто не угонял пароль сниффером.
я к этому и клоню. как-минимум консолька должна ограничивать работу только в docroot'e.
Снифером вы можете "угнать" временный пароль, который действует час. Да есть шанс что этот пароль отловят и в течении часа вас и заломают и вообще натворят всяких бед, но реально - это всё равно гораздо безопаснее чем telnet...
а ещё спросите, кто такие ламмеры..
ааа да нужная вещь... гы гы типа нашел sql-injection, зашел в админку, залил на хост и всё в порядке ))) поубивал бы.
Вы сами себя понимаете? :)
а что конкретно не понятно? такие вот творения идеальный инструмент для злоумышленников.
Почему?
возмём для примера такой код:
кто такой код пишет это другой вопрос, но такого кода достаточно много уж поверьте.
Используя некоректное значение для $page можно составить запрос который будет брать значение из другой таблицы. Например users :)
далее используя эти данные злоумышленник может получить доступ к сайту как существующий пользователь, в том числе и как администратор.
После чего злоумышленник обычно ищет возможность загрузки на сайт например через image-uploader в каком-нибудь wyswyg редакторе где не делается проверка на расширение файла и заливает он обычно не что-нибуль а именно подобные изделия, что это ему дает я думаю понятно и именно по причине того что людей которые пишут запросы так, как указанно выше очень много я категорически против таких поделок.
Почему?
возмём для примера такой код:
$page = $_GET['page'];
$query = "SELECT * FROM pages WHERE page_id = $page";
кто такой код пишет это другой вопрос, но такого кода достаточно много уж поверьте.
Используя некоректное значение для $page можно составить запрос который будет брать значение из другой таблицы. Например users :)
далее используя эти данные злоумышленник может получить доступ к сайту как существующий пользователь, в том числе и как администратор.
После чего злоумышленник обычно ищет возможность загрузки на сайт например через image-uploader в каком-нибудь wyswyg редакторе где не делается проверка на расширение файла и заливает он обычно не что-нибуль а именно подобные изделия, что это ему дает я думаю понятно и именно по причине того что людей которые пишут запросы так, как указанно выше очень много я категорически против таких поделок.
мускль можно таким образом заставить выполнять коммандную строку или загрузить вредоносный скрипт на сервер.
так я к тому и клоню, что быдлокодер делает супер-сайт за 200 баксов, и начинается.
При помощи таких вот программок получается что от очередного куль-хацкера летит к черту не только сам супер-сайт, но и все остальное что лежит на этом серваке.
Соответственно нормальные люди такой софт использовать не будут, потому что осознают чем это грозит, а использовать его будут эти самые мега-супер-хацкеры.
И зачем спрашивается нужен такой софт??
При помощи таких вот программок получается что от очередного куль-хацкера летит к черту не только сам супер-сайт, но и все остальное что лежит на этом серваке.
Соответственно нормальные люди такой софт использовать не будут, потому что осознают чем это грозит, а использовать его будут эти самые мега-супер-хацкеры.
И зачем спрашивается нужен такой софт??
Не вините "подобные изделия". system($_GET['cmd']); никто не отменял, так что даже "очередной куль-хацкер" наделает делов.
Я, вот, юзаю подобный софт, ибо не всегда хостер дает шелл доступ...
Я, вот, юзаю подобный софт, ибо не всегда хостер дает шелл доступ...
таких хостеров избегать надо, потому что заведомо не заботятся о секьюрности хостящихся сайтов.
Ну это бабушка надвое сказала. Если у хостера сервер в chroot-jail и работает строго из-под пользователя php, то ещё отдельно настраивать туда ssh-доступ - непростое занятие.
Опять-таки представьте какую-нибудь вещь типа Amazon EC2 или Google Apps Engine. Там просто некуда делать ssh!
Если вы не сталкивались со сложными конфигурациями хостинга, когда ssh разрешать непрактично - то это ещё не значит что вы знаете как устроен мир...
Опять-таки представьте какую-нибудь вещь типа Amazon EC2 или Google Apps Engine. Там просто некуда делать ssh!
Если вы не сталкивались со сложными конфигурациями хостинга, когда ssh разрешать непрактично - то это ещё не значит что вы знаете как устроен мир...
я может что-то не понимаю а как же magic_quotes_gpc ?
Если по ssl и прикрыть .htaccess-ом, то почему бы и нет, хотя ssh есть почти всегда, там где позволено выполнять серьезные действия в командной строке.
с хостером клиента, у которого до сих пор сейф мод с запрещёнными функциями выполнения внешних комманд, совершенно неюзабельным плеском даже этот скрипт не спасёт. приходится делать всё вручную, даже архив не распакуешь :(
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
PHP Terminal — Консоль через WEB