NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: modifikace a správa oprávnění

V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:5.9.2014 21:23

Zdravím.
Pracuji na CMS, a potřeboval bych znát názor ohledně řešení jednoho problému.

Zrovna vyvíjím systém instalace modifikací, a napadlo mně udělat nějaké rozdělení oprávnění. V zásadě by šlo o to, že každá modifikace pro tento CMS by musela obsahovat seznam oprávnění,které je potřeba k jejímu provozování.Při instalaci by pak uživatel dostal informaci o tom co daná modifikace vyžaduje za přístup, a podle toho by potvrdil.

Toto může být ale funkční pouze v případě že by instalovali modifikace pouze z "oficiálních" stránek tohoto systému.Jednodušší by to bylo v tom že by uživatel jednak měl přehled o tom co jaký script může a nemůže, a zárověň by se značně zjednodušila kontrola nezávadnosti modifikací od případných třetích stran před poskytnutím k použití,kdy by stačilo projet kód pouze detektorem na zabudované PHP funkce pro operace s důležitými věcmi (mysql,práce se soubory atd), a modifikace by místo toho musela komunikovat pouze přes API k systému.

Otázka tedy zní: Má smysl se něčím takovým zabývat, nebo prostě udělat jednoduchou instalaci a ať se bezpečností toho co instalují, zabývají sami uživatelé ?

P.S-> tento CMS by měl být i součástí mé maturitní práce

Odpovědět
5.9.2014 21:23
Neaktivní uživatelský účet
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:6.9.2014 12:33

Mohl bych poprosit o názor třeba od Kit ?
Zajímalo by mně, jestli se to vyplatí dělat i navzdory tomu že by uživatelé instalovali případně i z jiných zdrojů kde by tato "ochrana" nepomohla

Nahoru Odpovědět
6.9.2014 12:33
Neaktivní uživatelský účet
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
Neaktivní uživatel:6.9.2014 12:38

Ahoj,

to záleží asi hlavně na tom, zda ten systém hodláš volně šířit ve velkém, nebo ho budeš používat pouze u svých projektů. Pochopil jsem, že ho chceš spíš šířit, tak v tom případě by to byla skvělá funkce. Otázka je, zda to běžný uživatel vůbec chce vědět, nebo jestli to pochopí.

// Kitův názor se bohužel nedovíš, na ITNetwork se už neobjevuje

Editováno 6.9.2014 12:40
Nahoru Odpovědět
6.9.2014 12:38
Neaktivní uživatelský účet
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
Neaktivní uživatel:6.9.2014 12:54

Rád bych ho spíš použil pro volné šíření.
No, to už je vlastně otázka konkrétního uživatele.
Hloupý uživatel si stejně stáhne případné modifikace odkudkoliv,ale tomu kdo bude chtít dbát na bezpečnost webu by bylo doporučeno instalovat pouze modifikace které bych uvedl na domovských stránkách.Tím by potom bylo přehledné zobrazení oprávnění pro modifikaci, a pro mně zároveň velice jednoduché kontrolovat jestli modifikace neprovádí nějaké nekalé věci tím, že vše potenciálně nebezpečné by muselo běžet skrze API

Nahoru Odpovědět
6.9.2014 12:54
Neaktivní uživatelský účet
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
Neaktivní uživatel:6.9.2014 15:41

Těžko říct, jak se ti povede tu api vůbec napsat, natož pak aktualizovat.

Nahoru Odpovědět
6.9.2014 15:41
Neaktivní uživatelský účet
Avatar
coells
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
coells:6.9.2014 16:37

Říká se tomu aplikační sandbox. Jedná se o prostředí, ve kterém můžeš bezpečně spouštět cizí kód, aniž by mohl napáchat škody. Podívej se na http://php.net/….sandbox.php

Bez přímé podpory na platformě pro spuštění části kódu v rámci sandboxu nelze obecně zajistit bezpečnost při spuštění cizího kódu. Takže jakákoliv tvoje snaha takový kód napsat, je zbytečná. Pokud jsi schopen takové prostředí zajistit, pak to smysl má.

 
Nahoru Odpovědět
6.9.2014 16:37
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 6 zpráv z 6.