На главную  Карта сайта  
Главное меню
Реклама

Google Code Search - глобальная угроза безопасности Сети?

К нам во внимание попал релиз нового сервиса Google - Google Code Search, который способен сканировать заархивированные файлы, хранящиеся в публичных каталогах интернет серверов. Общеизвестно, что некоторые администраторы хранят архивы и резервные копии своего сайта в корневом или других каталогах, которые доступны для чтения. Здесь и скрываются возможные опасности, потому как Google Code Search находит в этих архивах и считывает неинтерпретированные PHP файлы так, как если бы они были обыкновенным текстом. Таким образом, по сути, кто угодно может получить доступ к исходникам сайта, включая пароли к БД.

Мы посчитали необходимым опубликовать основные рекомендации для сайтов, которые могут «попасть под раздачу», а так же показать пользователям некоторые полезные приемы, которые надлежащим образом сохранят ваш сайт защищенным.

  1. Никогда не храните резервную копию, заархивированную версию вашего веб-сайта да и вообще - любые файлы, которые не должны быть прочитаны/индексированны/найдены/скачаны в открытом доступе.
  2. Крайне важно, чтобы ваш провайдер заблокировал генерацию индексов для этого каталога*. Можете сделать это и сами, прописав в файле .htaccess: Options  -Indexes 
  3. Каталоги, которые содержат приватную информацию, защищайте паролем. К примеру, через тот же .htaccess

К тому же, если вы подозреваете, что реквизиты доступа к вашему сайту могли уже стать доступными третьим лицам, пожалуйста, удалите резервные копии или архивы, хранящиеся в корневом и других каталогах, доступных для чтения. Измените все соответствующие пароли. В случае необходимости, попросите своего провайдера, предоставившего хостинг, восстановить ваш сайт из резервной копии. Убедитесь в том, что он удалил архив, который был использован для восстановления вашего сайта.

*Генерация индексов для каталога - это фича mod_dir, модуля Апача, который отображает список файлов в каталоге, если там нет index.html/php/и т.п. файлов. Таким способом Google Code Search находит архивы.

11.10.2006