נתקלתם פעם בשגיאה דומה ל-"exec() has been disabled for security reasons"? יכול להיות שמדובר דווקא בחדשות טובות.
למנהל השרת ישנן מספר אפשרויות לבצע חסימה של פונקציות מסויימות ב-php, השאלה היא כמובן האם חברת האחסון משתמש ב"כוח" שניתן לה או לא – והמשמעות לאתרים המאוחסנים בשרת היא קריטית.
למה לחסום פונקציות?
הסיבה העיקרית לחסימה של פונקציות היא .. אנחנו, בין אם אנחנו מתכנתים שבונים אפליקציות ובין אם אנחנו מנהלי האתרים (שלא תמיד נוהגים לעדכן את כל העיצובים, התוספים וגרסאות של תוכנת הקוד הפתוח איתה אנחנו עובדים).
מה הכוונה?
הנקודה הראשונה שבעזרתה הפורץ הפוטנציאלי מגיע לשרת לרוב תהיה האתר, ובמקרה כזה – האתר הוא זה שחשוף בצורה המשמעותית ביותר לסריקות אבטחה (או יותר נכון, גם אם מבצעים סריקה על השרת – מקור הסריקה בתחילה יהיה האתר, ולא "השרת" באופן ישיר).
לפיכך, אם הפורץ מצא פרצת אבטחה (בגלל פלאגין עם פרצת אבטחה, לדוגמא) הדבר הראשון שהפורץ יעשה הוא להעלות כלי פריצה לשרת במטרה לפרוץ לכלל השרת – כלומר, להרחיב את הפריצה (למרות מה שאנחנו חושבים, מה שמעניין את ההאקרים האלג'יראים הוא לא בלוג הבישול שלנו – אלה לפרוץ לכלל האתרים בשרת או להשתמש בשרת למטרות זדוניות אחרות).
כלי הפריצה הללו ינסו באופן ראשוני ובסיסי להשתמש בפונקציות php שונות שיאפשרו לפורץ להשיג שליטה על השרת – ויש מגוון פונקציות כאלו ב-Php:
exec, shell_exec, system וכו'.
לפיכך (ומתוך הנחה שתמיד יהיו טעויות אנוש, בין אם פרצות אבטחה שישאירו המתכנתים בטעות או חוסר עדכון של מנהל האתר),
יש פונקציות שמומלץ לחסום (כאשר מדובר בשרת שיתופי), ויש פונקציות שלמרות הסיכון, יש להשאירן פתוחות לשימוש.
האם חסימה היא תמיד טובה?
כמו בכל אלמנט של אבטחת מידע, חברת האחסון צריכה לבצע איזון עדין בין הפעולה התקינה של האתרים לבין הסיכון של אי חסימה של גורם בעייתי – והסיבה היא פשוטה, כולנו יודעים שהמחשב המאובטח בעולם הוא זה שלא מחובר לאינטרנט ונעול בכספת – יחד עם זאת, זו תהיה בעיה לא קטנה לארח את האתר שלנו על שרת כזה.
מה שבעיקר צריך לזכור הוא שיש הגדרות שונות לאחסון, לדוגמא – באחסון שיתופי ניתן לחסום פונקציות רבות יותר (מכיוון שהסיכון גדול יותר).
לעומת זאת, בשרת יעודי-פרטי בו יש רק אתר אחד, ייתכן והסיכון הוא נמוך יותר (או לחלופין, מדובר בסיכון המקובל על הלקוח).
לסיכום
בדקו עם חברת האחסון שלכם אם ישנו סט בסיסי של פונקציות שחסומות (ולחופרים: אפשר גם לנסות להבין למה הפונקיצות חסומות).
חברת האחסון לא יודעת על מה אתם מדברים? אולי זה הזמן לעבור דירה.
- חגי הקניות 2023 – בצל המלחמה! - נובמבר 12, 2023
- ריבוי אתרים בחשבון = סיכון אבטחה - יולי 16, 2017
- Let's encrypt – תעודות SSL, ובחינם! - ינואר 17, 2017
השאר תגובה