Dzisiejszą nagrodę zdobywają autorzy najgorzej napisanego systemu hostingowego. Tylko prawdziwy geniusz mógł coś takiego wymyślić. Każda strona VHCS jest zabezpieczona
wywołaniem specjalnej funkcji. Kod poniżej:
function check_login () {
if (isset($_SESSION['user_logged'])) {
if (!check_user_login($_SESSION['user_logged'],
$_SESSION['user_type'],
$_SESSION['user_id'])) {
header("Location: ../index.php");
}
} else {
header("Location: ../index.php");
}
}
Oto, moi drodzy, nowy sposób zabezpieczania systemów. Jeśli użytkownik nie jest zalogowany, to wysyłamy mu nagłówek przekierowania do strony logowania, po czym… Po czym nie przerywamy wykonania skryptu przez die(); albo exit();, tylko pozwalamy mu się normalnie wykonać.
Tym panom już podziękujemy, serwisy przywrócone z backupów, z VHCS się chyba pożegnamy — bezpieczeństwo mają wyraźnie w dużym poważaniu i nie czują się zobowiązani do publikowania informacji o krytycznych błędach (a kolejne poprawki udostępniają przez nadpisanie pliku z poprzednim patchem, bez informacji o zmianach).
Technorati Tags: vhcs, security, hosting, wtf, code, software
Banzaiiiiiiii! Piękne :)
A propos host’ów. Jakiś czas temu pamiętam pisałeś, że zarejstrowałeś się na dreamhost.com. Cały czas jesteś z nimi? Wszystko jest ok? Obok dosyć dużych możliwości jakie dają (jak na dzielony hosting) to słyszałem o nich różne zdania.
szkoda gadac…
tez cos na ten temat pisalem :(
http://normanos.com/linux/exploit-na-vhcs2/
Do tego sam panel VHCS-a wymaga register_globals - rotfl
Bug już dość stary, powinien dostać nagrodę sprzed dwóch miesięcy. Ale cały kod vhcsa to jeden wielki żart, więc czego byś tu nie przytoczył nadawałoby się na WTF.
A register_globals wymagany jest tylko dla filemanagera.
medyk:
Tak, dalej korzystamy z Dreamhosta i jesteśmy nader zadowoleni. To duży hosting, więc i zdania będą podzielone, a najgłośniej słychać tych, co narzekają. Jeśli tylko jest jakiś problem, to helpdesk reaguje natychmiast i są bardzo pomocni (w przeciwieństwie do kilku innych firm hostingowych, z którymi miałem nieprzyjemność współpracować). Ceny mają rewelacyjne, a polski hosting w porównianiu z nimi wypada blado.
Michał:
Bug stary, ale oficjalny patch go nie poprawia (a raczej nie poprawiał, bo autorzy VHCS bez jakiejkolwiek informacji podmienili plik z patchem na serwerze).
właśnie przeglądałem sobie opinie n/t paneli hostingowych.
ten projekt (VHCS) jest jeszcze w ogóle w konkretny sposób rozwijany ?