From: Wallace G. G. L. <wal...@oi...> - 2009-03-12 16:55:08
|
Segue o que os developers me passaram para tornar o tiki mais seguro: security.tikiwiki.org Espero que te ajude Wallace Goulart Gaudie Ley, TI - Gerência de Arquitetura de Soluções Oi Rua Jangadeiros, 48 6º andar - Ipanema. Rio de Janeiro/RJ Brazil - 22420-010 Oi Fixo: +55 21 3113-1827 Oi: +55 21 8769-3600 Fax: +55 21 3113-1309 http://arquitetura/ <http://arquitetura/> Antes de imprimir, lembre-se do seu compromisso com o meio ambiente Oi Simples Assim ________________________________ De: Fernanda Cintra [mailto:fer...@bi...] Enviada em: quinta-feira, 12 de março de 2009 13:50 Para: Lista de discussão Tikiwiki em português, para usuários e desenvolvedores (pt-br localized mailing list) Assunto: Re: [Tikiwiki-pt-br]RES: Problemas com invasão do tiki Pessoal, Tem alguma forma de tirar as permissões de gravações nos diretorios abaixo do document root, apenas com permissão de gravação para upload de arquivos (com filtro habilitado). Ou seja mudar o usuário do apache?? Torna-lo mais seguro como devo proceder, preciso de dicas, sugestões... Abraços Fernanda ----- Mensagem original ----- De: "Wallace Goulart Gaudie Ley" <wal...@oi...> Para: "Lista de discussão Tikiwiki em português, para usuários e desenvolvedores (pt-br localized mailing list)" <tik...@li...> Enviadas: Sexta-feira, 6 de Março de 2009 17:53:43 (GMT-0300) Auto-Detected Assunto: [Tikiwiki-pt-br] RES: Problemas com invasão do tiki Outra coisa... eu identifiquei que se o invasor conhecer a arquitetura do tikiwiki ele pode jogar um arquivo na pasta que aceita código flash(usando o wysiwyg) e daí só Deus sabe o que ele vai fazer... O ideal é vc embarreirar ao máximo as execuções de scripts pelos usuários retirando execução de código HTML, etc, porém vc vai ter como problema a retirada da versatilidade do tikiwiki... mas mantém a segurança... Wallace Goulart Gaudie Ley, TI - Gerência de Arquitetura de Soluções Oi Rua Jangadeiros, 48 6º andar - Ipanema. Rio de Janeiro/RJ Brazil - 22420-010 Oi Fixo: +55 21 3113-1827 Oi: +55 21 8769-3600 Fax: +55 21 3113-1309 http://arquitetura/ <http://arquitetura/> Antes de imprimir, lembre-se do seu compromisso com o meio ambiente Oi Simples Assim ________________________________ De: Fernanda Cintra [mailto:fer...@bi...] Enviada em: sexta-feira, 6 de março de 2009 17:13 Para: Lista de discussão Tikiwiki em português, para usuários e desenvolvedores (pt-br localized mailing list) Assunto: Re: [Tikiwiki-pt-br]Problemas com invasão do tiki Fabio, Este script justamente faz o que eu não quero, que é dar permissão de gravação ao usuario do apache para todo o documento root. Pois o invasor coloca novos arquivos com códigos maliciosos dentro da aplicação por conta dessas permissões. Fernanda ----- Mensagem original ----- De: "Fabio Rampazzo Mathias" <fma...@gm...> Para: "Lista de discussão Tikiwiki em português, para usuários e desenvolvedores (pt-br localized mailing list)" <tik...@li...> Enviadas: Sexta-feira, 6 de Março de 2009 16:34:22 (GMT-0300) Auto-Detected Assunto: Re: [Tikiwiki-pt-br] Problemas com invasão do tiki Fernanda, Acho que se você rodar o comando "sh fixperms.sh fix" dentro do diretório raiz do tiki, funciona. Atenciosamente, Fábio Rampazzo Mathias 2009/3/6 Fernanda Cintra <fer...@bi...> Pessoal Estou com sérios problemas de invasão nas instalações do tiki, meu servidor roda em linux com apache. Tem alguma forma de tirar as permissões de gravações nos diretorios abaixo do document root, apenas com permissão de gravação para upload de arquivos (com filtro habilitado). Aguardo a ajuda de vocês! Fernanda Godoi ------------------------------------------------------------------------------ Open Source Business Conference (OSBC), March 24-25, 2009, San Francisco, CA -OSBC tackles the biggest issue in open source: Open Sourcing the Enterprise -Strategies to boost innovation and cut costs with open source participation -Receive a $600 discount off the registration fee with the source code: SFAD http://p.sf.net/sfu/XcvMzF8H _______________________________________________ Tikiwiki-pt-br mailing list Tik...@li... https://lists.sourceforge.net/lists/listinfo/tikiwiki-pt-br ------------------------------------------------------------------------------ Open Source Business Conference (OSBC), March 24-25, 2009, San Francisco, CA -OSBC tackles the biggest issue in open source: Open Sourcing the Enterprise -Strategies to boost innovation and cut costs with open source participation -Receive a $600 discount off the registration fee with the source code: SFAD http://p.sf.net/sfu/XcvMzF8H _______________________________________________ Tikiwiki-pt-br mailing list Tik...@li... https://lists.sourceforge.net/lists/listinfo/tikiwiki-pt-br Esta mensagem, incluindo seus anexos, pode conter informacoes privilegiadas e/ou de carater confidencial, nao podendo ser retransmitida sem autorizacao do remetente. Se voce nao e o destinatario ou pessoa autorizada a recebe-la, informamos que o seu uso, divulgacao, copia ou arquivamento sao proibidos. Portanto, se você recebeu esta mensagem por engano, por favor, nos informe respondendo imediatamente a este e-mail e em seguida apague-a. ------------------------------------------------------------------------------ Open Source Business Conference (OSBC), March 24-25, 2009, San Francisco, CA -OSBC tackles the biggest issue in open source: Open Sourcing the Enterprise -Strategies to boost innovation and cut costs with open source participation -Receive a $600 discount off the registration fee with the source code: SFAD http://p.sf.net/sfu/XcvMzF8H _______________________________________________ Tikiwiki-pt-br mailing list Tik...@li... https://lists.sourceforge.net/lists/listinfo/tikiwiki-pt-br Esta mensagem, incluindo seus anexos, pode conter informacoes privilegiadas e/ou de carater confidencial, nao podendo ser retransmitida sem autorizacao do remetente. Se voce nao e o destinatario ou pessoa autorizada a recebe-la, informamos que o seu uso, divulgacao, copia ou arquivamento sao proibidos. Portanto, se você recebeu esta mensagem por engano, por favor, nos informe respondendo imediatamente a este e-mail e em seguida apague-a. |