Biztonsági kérdés

davidadams képe

Sziasztok!

Lenne egy olyan kérdésem, hogy van egy drupal 7-es weboldal ami szépen működik és a tulajdonos mobilapplikációt készít amibe a weboldalt is bele akarja vonni.
PHP fájlokat tesznek a root-on kívül amin keresztül a drupal adatbázisába értékeket vesznek fel(pl.,hogy az illető használhatja-e a mobil applikációt vagy nem...).
A honlapról is nyernek ki adatokat a mobilapplikációba.

Ez mennyire érint engem biztonsági oldalról?

Előre is köszönöm a választ!
Dávid

Drupal verzió: 
Fórum: 
nevergone képe

Szia!

Nem szerencsés, hogy a Drupal megkerülésével írnak az oldal adatbázisába és attól tartok, hogy a nem túl távoli jövőben ez problémákat fog okozni.

3
0
szabozee képe

Még felsorolni sem tudnám itt, hogy a tervezett php kiegészítés mennyi biztonsági rést nyithat. A leakforums.net oldalon megismerheted a leggyakoribb módszereket és elrettentésként láthatod is mindazt, amiket hasonló nem biztonságos kódolást kihasználva szereztek meg. Szerintem nem szeretnéd, hogy a weboldalad ilyen helyen legyen közzétéve vagy hogy igen kellemetlen ilyen helyzetekbe kerülj, mint pl. http://hvg.hu/tudomany/20160331_kiszivargott_magyar_gmail_jelszo
Javaslom, ha külső programmal kell kommunikálni, akkor mindenképp valami Drupal-os megoldást használjatok erre, mint mondjuk a https://www.drupal.org/project/services modul.

3
0

szabozee (zee zee zee kukac free mail pont hu)

Balu Ertl képe

Az elképzelés alapvetően nem rossz: a Drupalt valóban nagyon jól lehet használni mobilalkalmazások backend-jeként, de az nem a 7-es, hanem az új 8-as főverzió, amit kifejezetten reklámoznak is erre a célra (lásd még: „Headless Drupal”).

Rendszerintegrációs szempontból viszont szinte kizártnak tartom, hogy egy ilyen felállás hosszútávon megtérülő lenne nem csak biztonsági, hanem karbantartási, üzemeltetési szempontból is.

Hogy mennyire abszurd az elképzelés, talán ahhoz tudnám hasonlítani, mintha két kamionod 90-nel hasítana egymás mellett az autópályán azonos sebességgel, miközben az egyikből a műszerfal elektromos vezetékei át lennének huzalozva a másikba. Elképzelni is rossz, mit érezhet a „távirányított” jármű vezetője a fülkében, vagy hogy mi történne a sebességkülönbség növekedésével elszakadó vezetékek esetén...

„Never hack the core!” - tartja a jó öreg mondás Drupal-körökben, és ez éppúgy igaz az adatbázisára is.

2
-2
pp képe

Ez azért feladat és megvalósítás függő. Az ilyen általánosító kijelentések nagyon veszélyesek.

Én dolgoztam olyan nem kispályás projekten, ahol ez lett a megbízható jó megoldás. Megfelelő jogosultsági beállításokkal simán jól üzemeltethető egy ilyen.

pp

0
0
pp képe

A kérdés nem egyszerű, hisz nem ismerjük a környezetet, sőt számomra az sem teljesen világos, hogy a "Ez mennyire érint engem biztonsági oldalról?" mondatban az engem, mit jelent. Vagyis Te milyen szerepben vagy?

Te üzemelteted a Drupalt és más fejleszti a mobil applikációt, és megint más a tulajdonos?

Mert akkor itt nem biztonsági kérdésekről van szó, hanem felelőségi és együttműködési körökről.

Üljetek le hárman, a másik fejlesztőcéggel és a tulajdonossal, és beszéjétek meg, hogy mi lesz akkor amikor baj van. Hogyan fogjátok felderíteni a hiba okát, ki fogja elhárítani, hogyan fogjátok tesztelni stb. Mert itt a tulajdonosnak kell megérteni, hogy ha gond van, és ti elkezditek focizni ide-oda, akkor az neki nem jó. Nem csak azért fogjátok focizni, mert nem akarjátok, hanem mert nem, vagy csak nagyon körülményesen fogjátok tudni megoldani a problémát. Hisz a problémát csak akkor lehet megoldani, ha az felderíthető (tesztelés, logolás), egy megoldás csak akkor működik majd megbízhatóan, ha az aki csinálja érti, hogy mi történik, és akkor nem fognak elmérgesedni a viszonyok, ha egyértelmű lesz, hogy ki, mikor, mit és miért csinált. (verziókezelés, közös workflow)

pp

3
0
davidadams képe

Köszönöm a válaszokat!

A drupalt én üzemeltetem, fejlesztem más fejleszti a mobil applikációt és van a tulajdonos.

Köszönöm az ötletet, hármasban már volt megbeszélés, de erre nem tértünk ki pontosan.

Dávid

0
0