20 октября 2007 г.

Правила хорошего тона – файл .htaccess

Не думал, не гадал, а в каку попал …

С год назад купил у Машкова Д.Б. скрипт статистики.
У же ВТОРОЙ раз меня с данным скриптом вскрывают.
А Машков тут типа не при делах

В первый раз мне крон подкручивали (обновление данных статистики) - обнуляли все данные.

А сегодня вообще – подобрали пароли к админке и от имени администратора удалили 260 аккаунтов пользователей с отправкой им гневного письма от моего имени.

Я в шоке, пользователи в шоке. аська трещит, е- mail разрывается …: “Объясните причину…”

Объясняю 3 правила хорошего тона.

Этот распиздяй Машков, тоже тулит всем свой СЫРОЙ СКРИПТ статистики (скоко мне потребовалось времени, чтоб его немного оптимизировать…) без понимания трех простых правил хорошего тона:

1. В любой папке вашего сайта должен лежать (даже пустой) файл index ( index.html или index.htm). Тогда не будет возможности через браузер запустить файлы находящиеся в папке. Так мне запускали php файлы крона :(

2. В папках, в которых файлы используются исключительно скриптом сайта должен лежать файл .htaccess с простой строчкой: deny from ALL

3.  В админ папках (допустим файлы бекофиса – админка управления сайта) Доступ к которым нужен только вам, должен лежать файл htaccess с простыми строчками:

deny from ALL
Allow from ## . ## . ## . ##

## . ## . ## . ## - IP адрес администратора

 

Так что знайте, заказывая скрипт статистики у Машкова по ICQ 581196 , email : cisconet@mail.ru – вы обрекаете себя на БОЛЬШИЕ неприятности. В нем ОЧЕНЬ множество багов

Но самый большой баг: ОТСУТСТВИЕ БЕЗОПАСНОСТИ.

Если вы еще знаете правила хорошего тона - пишите комменты