Witam
Wiem, że zaczynam trochę od końca, bo kwestia bezpieczeństwa powinna mieć priorytet w działaniach na stronie. Nie doświadczyłem jeszcze! nic złego w związku ze słabo zabezpieczoną stroną. Tak nie będzie zawsze, choć nie nie miałbym nic przeciwko temu. Chciałbym zapełnić swój brak wiedzy i wątpliwości dotyczące: - na tej stronie znalazłem htaccess_noMefisto_SafeModeOn. Czy wystarczy tym plikiem podmienić ten stary na serwerze???
- po zalogowaniu się na stronę jako admin widnieje ramka z komunikatem:
"Następujące ustawienia PHP na serwerze nie są optymalne ze względów bezpieczeństwa i zalecana jest ich zmiana:
* Zmienna PHP magic_quotes_gpc ustawiona jest ’OFF’ zamiast ’ON’
Moje pytanie - w którym miejscu na serwerze znajdę tą zmienną?
Dzięki za pomoc

Pozdrawiam
Januszczyk

W pliku .htaccess ja mam wpisane :

Kod:

SetEnv PHP_VER 4 SetEnv REGISTER_GLOBALS 0 SetEnv ZEND_OPTIMIZER 1 SetEnv MAGIC_QUOTES 1

Nie wiem na ile to bezpieczne ale przynajmniej nie mam komunikatów o błędach.

Iceman napisał:
W pliku .htaccess ja mam wpisane :

Kod:

SetEnv PHP_VER 4 SetEnv REGISTER_GLOBALS 0 SetEnv ZEND_OPTIMIZER 1 SetEnv MAGIC_QUOTES 1

Nie wiem na ile to bezpieczne ale przynajmniej nie mam komunikatów o błędach.Tylko w Twoim pliku, "Iceman", bo w moim nie, oprócz: "SetEnv PHP_VER 4". Może nie wiesz, ale Januszczyk pisze o serwerze 60 FREE OVH, a ty jesteś chyba na 100GP?. Dobrze myślę?.

Kod:

SetEnv REGISTER_GLOBALS 0

Ten wpis może wyglądać tak jak podany poniżej, gdyż dla PHP spotkałem większość wpisów, korzystających z dyrektywy php_flag:

Kod:

php_flag register_globals on

..lecz, niestety, ale prawdopodobnie na serwerach OVH nie masz wpływu na to ustawienie. Jest ono zawarte w pliku "php.ini", a tylko na nielicznych serwerach administratorzy pozwalają na dostęp do tego pliku, najczęściej "dedykowanych". I właśnie po to wymyślono emulację "register_globals" , której wartość można zmienić w pliku "globals.php":

Kod:

define( 'RG_EMULATION', 0 );

- Emulacja wyłączona.

Kod:

define( 'RG_EMULATION', 1 );

- Emulacja włączona.
Sama emulacja RG prawdopodobnie zadziała na większości serwerów. Wywoływana jest ona ze skryptów "Joomla", a co oznacza słowo "emulacja", to chyba każdy wie. Dyrektywę PHP "magic_quotes_gpc" też można wpisać do pliku .htaccess, ale najlepiej w taki sposób:

Kod:

php_value magic_quotes_gpc 1

, z tym że, jak pisałem wcześniej, też tylko na wybranych serwerach.
Dlaczego poprawiałem wpisy podane przez Icemana, chociaż dla serwera OVH są one prawidłowe. Otóż, aby komenda (dyrektywa ) "SetEnv" została wykonana, muszą być spełnione następujące warunki:

• Status: Podstawowy


• Plik źródłowy: mod_env.c


• Identyfikator modułu: env_module


• Kompatybilność: Dostępny tylko dla modułu Apache 1.1 lub wyższy.

Powyższy tekst na podstawie tekstu źródłowego ze strony http://httpd.apache.org/
Więc wystarczy sprawdzić, czy taki moduł jest zainstalowany w informacjach o systemie, i można wtedy stosować wpisy podane przez Icemana, w innych przypadkach stosować wpisy podane przeze mnie. Musimy pamiętać, że, według Wikipedii w maju 2006 udział Apache wśród serwerów wynosił około 65%. Czyli 35% to Ci użytkownicy, którzy korzystają z innych środowisk w firmach oferujących miejsce na serwerach sieciowych. A i także Apache z naszego serwera może korzystać tylko z wymienionej na początku dyrektywy php_flag.
I jeszcze tylko krótka informacja co do pliku .htaccess. Zmienione ustawienia obowiązują dla danego katalogu jak i dla wszystkich podkatalogów, jeśli tylko dany podkatalog nie jest skonfigurowany jako osobny podserwer - należy zapamiętać, że w takim przypadku dziedziczenie ustawień zawartych w .htaccess nie zadziała.
A teraz moja rada:

• Ustaw w pliku "globals.php" RG_EMULATION na 1


• Nie zwracaj uwagi na żadne, żółte komunikaty i ramki w panelu "admina":. To są tylko "sugestie", i wcale nie musisz się do nich stosować. U mojego syna ( ja jadę na Joomla 1.07 ) "zdezaktywowałem" funkcje "jos_security", przez co nie musi oglądać przeszkadzających w pracy w/w sugestii. Jak ktoś jest chętny, to mogę zrobić łatkę do Joomla 1.0.11, likwidującą tę funkcję. Nic się z naszą Joomla złego nie stanie. Nie należy przesadnie traktować "spraw bezpieczeństwa", chociaż nie wolno je lekceważyć. Jak ktoś chce mieć serwer bezpieczny, to polecam OVH 60 FREE, tak mocno krytykowany na "Innym" Forum ( nie ze względu na powierzchnię, tylko za ustawienia serwera ). Tam są wszystkie możliwe restrykcje. Przecież stosując się do w/w "sugestii", tak naprawdę to ustawiamy serwer, przynajmniej częściowo w tryb Safe Mode On, czyli bezpieczny.


• htaccess_noMefisto_SafeModeOn wystarczy Ci zupełnie. Zmień tylko wersje PHP na 4, dopisując do pliku .htaccess
  linijkę, cytowana przez "Icemana", czyli całość będzie wyglądać tak:
  

  Kod:

  SetEnv PHP_VER 4 <Files 403.shtml> order allow,deny allow from all </Files> # zone h deny from .zone-h.org deny from .zone-h.com deny from 213.219.122 # cyber-warrior.org deny from .cyber-warrior.org deny from .cyber-security.org deny from 80.237.211.8

  
  60 FREE są serwerami bezpiecznymi, i dopiero jak przejdziesz na 1000GP, to zacznij martwić się o prawidłową konfigurację "Joomla".

Iceman. A co to jest ten "ZEND_OPTIMIZER"?. Korzystasz z czegoś takiego?. Napisz, jeśli korzystasz, i jakie to przynosi pożytki, lub nie. Ok?.

To narka. I pozdro. Jokris.

Jokris napisał:
A co to jest ten "ZEND_OPTIMIZER"?. Korzystasz z czegoś takiego?. Napisz, jeśli korzystasz, i jakie to przynosi pożytki, lub nie. Ok?.

W czasie szperania za "czymś" znalazłem to OVH Konfiguracja Php. Później, nie pamiętam gdzie, czytałem że może być pomocne. Więcej informacji można znaleźć to : Zend Optimizer™
W imie zasady "Co nas nie zabije to nas wzmocni" wpisałem, no i "testuje".

Drodzy koledzy, przetestowałem wszystkie tu wyżej wymienione sposoby na poprawienie komunikatu
"Zmienna PHP magic_quotes_gpc ustawiona jest ’OFF’ zamiast ’ON’" (no oprócz: dezaktywacji funkcji "jos_security")
i niestety musze napisać że nie działa mi żadna z nich

mam konto na serwerze 60 FREE OVH
na pewno działa opcja SetEnv PHP_VER 5
SetEnv REGISTER_GLOBALS 0 nie wiem bo mam ustawione w pliku globals.php
no ale ja potrzebuje coś na zmiane magic_quotes_gpc i tutaj jest lipa

Pytanie do Jokrisa: co miałeś na myśli mówiąc że:
60 FREE są serwerami bezpiecznymi, i dopiero jak przejdziesz na 1000GP, to zacznij martwić się o prawidłową konfigurację "Joomla".
czy to znaczy że na 60 FREE nie potrzeba już ustawiac podstawowych zabezpieczeń jak register globals, magic quotes itp?

Proszę pomóżcie!

SabeSaK napisał:

czy to znaczy że na 60 FREE nie potrzeba już ustawiac podstawowych zabezpieczeń jak register globals, magic quotes itp?

Proszę pomóżcie!
Cześć. W zasadzie nie trzeba, bo serwer 60FREE jest już tak bardzo "okrojony" z przydatnych funkcji, że sądzę że nikt Ci nie jest w stanie zagrozić. Gdzieś 2 lata temu wiele funkcji było włączonych, jak np. funkcja Mail (). A obecnie to nawet nie włączysz mod_rewrite. Zapomnij o przyjaznych linkach i innych udogodnieniach. Zapomnij o pozycjonowaniu strony. Nie uda Ci się to. Serwery 60FREE są maskowane w bazie Whois, a poprzez brak obsługi poczty nawet nie zarejestrujesz strony do większości katalogów WWW.. Ja myślę, że można na tym serwerze trzymać Joomla!, ale tylko w formie blogu lub jakiejś strony newsowej.
Smutne, ale prawdziwe. A opisywane powyżej funkcje dotyczą serwerów 1000GP.