ANTICHAT — форум по информационной безопасности, OSINT и технологиям

astrologer, точно, как же я мог про это забыть))))))))))))))

Нужна помощь!!! Смотрите вот конфигурационный файл от форума:
http://site.com/forum/config.php, нужно сделать так, чтобы вместо пароля в нём, он послал запрос на второй файл скрипту, где хранятся пароли сюда:
http://secret.com/script.php, а этот скрипт в ответ отсылает пароли (незнаю может параметром, может ещё как) ТОЛЬКО на определённый URL сюда: http://site.com/forum/config.php.

Тогда будет непробиваемая защита пароля, скрипт по адресу:
http://site.com/forum/config.php нельзя удалить или заменить или модифицировать ибо на нём права 444, а на папках права 555, редактированию не подлежат.
А скрипт http://secret.com/script.php отсылает инфу на URL который подменить никак нельзя.

Ну и собственно вопрос, может кто нибудь поможет с реализацией???
Нужен php код обоих скриптов как это реализовать, кто сможет помочь в этом деле, помогите плииз!!!

Не думаю, что это будет непробиваемая защита. Если некоторый скрипт в config.php получает пасс, то в случае взлома можно будет получить пассы через этот файл. А во-вторых, если получать пароли с другого сервера, то это будет очень долго. Разницы между такой системой и простым хранением пароля в config.php не вижу...

Ну сколько же можно объяснять, если на файл config.php стоят права 444 ну НЕЛЬЗЯ его модифицировать НИКАК. А кроме него пароль получить никто не может НИКТО.
Насчёт долгой загрузки я знаю, но это цена за безопастность.
Блин ну как же мне это реализовать то

Файл модифицировать если и нельзя, но его можно просмотреть например. А чем не устраивает такое:

Если обратиться к config.php по http, то он же ничего не выведет.
По-моему, так легче просто хорошо проверить скрипты на наличие дыр.


А если страдать параноей, то:

config.php - получает пасс
script.php - выдаёт пасс
Реализацию проверки подлинности получателя пароля кроме как через ip-адрес не вижу.

По IP и через .htaccess можно. Этот вариант НЕ КАТИТ.

твой файл config.php посылает простой запрос (что-то типа дай пасс) файлу script.php. без всяких хедеров и секретных данных.

скрипт.пхп получив запрос на пассы, просто отсылает их на путь указанный в скрипте (путь должен быть задан простой строкой а не передаваться параметром).
даже если кто-то иной пошлёт запрос script.php он вышлет их только на урл, указанный в самом script.php

т.к. урл или ип машины, ПОСЫЛАЮЩЕЙ запрос, можно подделать, нет смысла разрешать запросы только с определённого компа. лучше разрешить только локальное обращение к config.php (т.е. если leviy.sait.com попытается обратиться к config.php у него должно ничего не выйти)

но если взломают комп на котором script.php, они исправят днс записи и подменят айпишник site.com на свой, и послушный файл руководствуясь внутренними записями днс отошлёт пассы якобы на site.com
(я уже не говорю про получение прав root и чтение всего чего захочется)

кстати можно написать путь вместо http://site.com/forum/config.php например как http://1.1.1.1/forum/config.php и тогда фокус с локальной днс записью не прокатит. но у твоего компутера на котором лежит config.php должен быть статический ип. и если твой сервер перезагрузится, кто-то за это время сможет подделать твой айпи. так что предлагаю вот как:
script.php пусть будет делать проверку на наличие айпишника твоего сервера и одновременно проверку по записям днс (не локальным, через вхуиз), принадлежит ли этот айпишник site.com и наоборот, принадлежит ли имя site.com твоему айпишнику

Nightmare, ну вот например ещё один способ, чтобы если файл config.php вызовут в браузере напрямую, он не выполнялся.
В самое начало скрипта добавь:
Когда файл инклудится в другие файлы то всё будет окей, при запуске скрипта напрямую выдаст Access Denied.
Имхо это единственный не наркоманский выход из ситуации, т.к. способы типо фильтрации по ip и т.д. бред...

strpos($_SERVER['PHP_SELF'], 'config.php') даст true