Avatar
Jenkings
Redaktor
Avatar
Jenkings:

Zdravím.
Pracuji na CMS, a potřeboval bych znát názor ohledně řešení jednoho problému.

Zrovna vyvíjím systém instalace modifikací, a napadlo mně udělat nějaké rozdělení oprávnění. V zásadě by šlo o to, že každá modifikace pro tento CMS by musela obsahovat seznam oprávnění,které je potřeba k jejímu provozování.Při instalaci by pak uživatel dostal informaci o tom co daná modifikace vyžaduje za přístup, a podle toho by potvrdil.

Toto může být ale funkční pouze v případě že by instalovali modifikace pouze z "oficiálních" stránek tohoto systému.Jednodušší by to bylo v tom že by uživatel jednak měl přehled o tom co jaký script může a nemůže, a zárověň by se značně zjednodušila kontrola nezávadnosti modifikací od případných třetích stran před poskytnutím k použití,kdy by stačilo projet kód pouze detektorem na zabudované PHP funkce pro operace s důležitými věcmi (mysql,práce se soubory atd), a modifikace by místo toho musela komunikovat pouze přes API k systému.

Otázka tedy zní: Má smysl se něčím takovým zabývat, nebo prostě udělat jednoduchou instalaci a ať se bezpečností toho co instalují, zabývají sami uživatelé ?

P.S-> tento CMS by měl být i součástí mé maturitní práce

Odpovědět 5.9.2014 21:23
Největší časovou náročnost má výpočet časové náročnosti..
Avatar
Jenkings
Redaktor
Avatar
Jenkings:

Mohl bych poprosit o názor třeba od Kit ?
Zajímalo by mně, jestli se to vyplatí dělat i navzdory tomu že by uživatelé instalovali případně i z jiných zdrojů kde by tato "ochrana" nepomohla

Nahoru Odpovědět 6.9.2014 12:33
Největší časovou náročnost má výpočet časové náročnosti..
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na Jenkings
Jiří Gracík:

Ahoj,

to záleží asi hlavně na tom, zda ten systém hodláš volně šířit ve velkém, nebo ho budeš používat pouze u svých projektů. Pochopil jsem, že ho chceš spíš šířit, tak v tom případě by to byla skvělá funkce. Otázka je, zda to běžný uživatel vůbec chce vědět, nebo jestli to pochopí.

// Kitův názor se bohužel nedovíš, na ITNetwork se už neobjevuje

Editováno 6.9.2014 12:40
Nahoru Odpovědět 6.9.2014 12:38
Creating websites is awesome till you see the result in another browser ...
Avatar
Jenkings
Redaktor
Avatar
Odpovídá na Jiří Gracík
Jenkings:

Rád bych ho spíš použil pro volné šíření.
No, to už je vlastně otázka konkrétního uživatele.
Hloupý uživatel si stejně stáhne případné modifikace odkudkoliv,ale tomu kdo bude chtít dbát na bezpečnost webu by bylo doporučeno instalovat pouze modifikace které bych uvedl na domovských stránkách.Tím by potom bylo přehledné zobrazení oprávnění pro modifikaci, a pro mně zároveň velice jednoduché kontrolovat jestli modifikace neprovádí nějaké nekalé věci tím, že vše potenciálně nebezpečné by muselo běžet skrze API

Nahoru Odpovědět 6.9.2014 12:54
Největší časovou náročnost má výpočet časové náročnosti..
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na Jenkings
Jiří Gracík:

Těžko říct, jak se ti povede tu api vůbec napsat, natož pak aktualizovat.

Nahoru Odpovědět 6.9.2014 15:41
Creating websites is awesome till you see the result in another browser ...
Avatar
coells
Redaktor
Avatar
Odpovídá na Jenkings
coells:

Říká se tomu aplikační sandbox. Jedná se o prostředí, ve kterém můžeš bezpečně spouštět cizí kód, aniž by mohl napáchat škody. Podívej se na http://php.net/….sandbox.php

Bez přímé podpory na platformě pro spuštění části kódu v rámci sandboxu nelze obecně zajistit bezpečnost při spuštění cizího kódu. Takže jakákoliv tvoje snaha takový kód napsat, je zbytečná. Pokud jsi schopen takové prostředí zajistit, pak to smysl má.

 
Nahoru Odpovědět 6.9.2014 16:37
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 6 zpráv z 6.