Не думал, не гадал, а в каку попал …
С год назад купил у Машкова Д.Б. скрипт статистики.
У же ВТОРОЙ раз меня с данным скриптом вскрывают.
А Машков тут типа не при делах
В первый раз мне крон подкручивали (обновление данных статистики) - обнуляли все данные.
А сегодня вообще – подобрали пароли к админке и от имени администратора удалили 260 аккаунтов пользователей с отправкой им гневного письма от моего имени.
Я в шоке, пользователи в шоке. аська трещит, е- mail разрывается …: “Объясните причину…”
Объясняю 3 правила хорошего тона.
Этот распиздяй Машков, тоже тулит всем свой СЫРОЙ СКРИПТ статистики (скоко мне потребовалось времени, чтоб его немного оптимизировать…) без понимания трех простых правил хорошего тона:
1. В любой папке вашего сайта должен лежать (даже пустой) файл index ( index.html или index.htm). Тогда не будет возможности через браузер запустить файлы находящиеся в папке. Так мне запускали php файлы крона :(
2. В папках, в которых файлы используются исключительно скриптом сайта должен лежать файл .htaccess с простой строчкой: deny from ALL
3. В админ папках (допустим файлы бекофиса – админка управления сайта) Доступ к которым нужен только вам, должен лежать файл htaccess с простыми строчками:
deny from ALL
Allow from ## . ## . ## . #### . ## . ## . ## - IP адрес администратора
Так что знайте, заказывая скрипт статистики у Машкова по ICQ 581196 , email : cisconet@mail.ru – вы обрекаете себя на БОЛЬШИЕ неприятности. В нем ОЧЕНЬ множество багов
Но самый большой баг: ОТСУТСТВИЕ БЕЗОПАСНОСТИ.
Если вы еще знаете правила хорошего тона - пишите комменты
Комментариев нет:
Отправить комментарий