Форум

В основных настройках "Битрикса" есть опция [B]"Позволять ли пользователям регистрироваться самостоятельно?"[/B].

Не могли бы вы более подробно описать для каких целей нужна эта опция? И о какой регистрации идет речь - на фронт-офисе (для доступа к любой странице) или для регистрации на форуме или для регистрации в бэкофис?

Добрый день!
Я продолжаю изучать ваш продукт перед тем, как доложить руководству о моем решении. Я хочу обсудить с вами вопрос, касающийся атак типа "переполнения буфера" для PHP скриптов.

Известно, что веб-приложения, написанные на языках, использующих статические буферы (например C/C++) могут быть уязвимы к таким традиционным бинарным атакам, как переполнение буфера. Также известно, что переполнение буфера возникает вследствие попытки программы записать в статический буфер больше данных, чем предусмотрено. Дополнительные данные переписывают и повреждают соседние блоки в памяти и могут дать возможность атакующему контролировать выполнение и внедрять произвольные инструкции.

Насколько я знаю, PHP не использует статический буфер. В таком случае, насколько по вашему мнению PHP скрипты подверженны такому виду атаки? Если возможность атаки на скрипты существует - то каким образом в продукте "Битрикс" вы с ней боретесь?

Виталий, я представляю себе эту схему так:

1. предположим, пользователь (или потенциальный злоумышленник) определяет в форме загрузки файлов на сайт файл code.php
2. далее он нажимает на кнопку "submit" и отправляет файл на сервер
3. запрос получает веб-сервер и передает его нужному скрипту "Битрикса"
4. скрипт "Битрикса" сохраняет файл в нужном месте

Предположим, злоумышленник каким-то образом нашел место где сохраняются файлы на веб-сервере. И он обращается к серверу по адресу:
http://www.site.ru/download/code.php

В случае, если папка /download имеет права на "Execute" и у файла code.php стоят права 777 то злоумышленник таким образом сможет из браузера получить доступ к файлу на сервере (то есть, другими словами, он из браузера сможет запустить файл, находящийся на сервере).

По моему, можно, конечно, запрещать вообще загрузку файлов типа *.php или *.asp. Но это даст защиту от непродвинутых злоумышленников, которые надеются "пробить" защиту сервера напрямую загружая какой-то php-скрипт.  

> Веб-сервер реагирует только на расширение. Если его сменить - файл станет не исполняемый.

Таким образом, в "Битриксе" вы не даете загружать файлы с запрещенными расширениями, но еще и файлы с разрешенными расширениями делаете по-умолчанию при загрузке не исполняемыми, я правильно Вас понял?

Хм... в таком случае что мешает любые загружаемые файлы делать неисполняемыми?

Поясните, пожалуйста, как в "Битриксе" хрянятся пользовательские сессии (для фронт-офиса и бэк-офиса), в случае, есть 3 возможных варианта хранения:
- в файлах
- в базе данных
- в оперативной памяти
?

И еще вопрос - какие дополнительные возможности появляются при использовании сессий, кроме, разумеется, хранения в сессии данных об авторизации пользователя и, может быть, возможность посчитать количество пользователей онлайн (что может использоваться в "Статистике")?

Здравствуйте!
На странице "Рекомендации по обеспечению высокого уровня безопасности" вы пишите, что "Одна из типичных ошибок, при обработке загрузки файлов на сервер - это недостаточная проверка или вообще отсутствие проверки расширений имен загружаемых файлов" и далее, что "единственно правильный вариант это составить список допустимых расширений имен файлов (например: jpg, gif, png) и разрешать загружать только их".

Для чего вы рекомендуете ввести эту проверку?

Понятно, что мы не можем определить тип файла, исходя из его расширения.  Не считаете ли вы, что эта «защита» не сыграет абсолютно никакой роли, любой мало-мальски думающий злоумышленник, все равно переименует файл, если ему захочется что-нибудь натворить?