Posted by hansroberto on March 18, 2008 at 6:46pm
Hej!
Jag har, återigen, sökt och sökt men inte hittat. Finns det någon bra sida/sidor som tar upp ämnet säkerhet? Det finns ju en hel del att tänka på, men med mina begränsade kunskaper om .htaccess, robots.txt chmod, osv... så blir det besvärligt!
Gärna om nån har tips om säkerhet utanför Drupal - den verkar vara välbevakad vad gäller säkerhetshål, m.m. Typ vad man ska tänka på för att begränsa möjligheterna till intrång. Jag menar, om dataföreningen kan drabbas så kan väl vem som helst?
Tack!
/Hans
Comments
Jag har jobbat åt
Jag har jobbat åt dataföreningen. Jag mistänker att anledning till säkerthets problem är att webbhotellet de använda blev knäckte inte Drupal. Problemet är att han som ta hand av server är typiskt av Svenska webbhotell. "Om det fungerar finns ingen anledning att upgradera eller fixa". De flesta lyssna inte till webbutvecklare som jobba på deras serverar när de säger att de borde fixa till små saker p.g.a säkerthets brist.
I dataföreningens fall jag är helt säkert att det var p.g.a admin nekad att installera SFTP på en delad server och alla som loggar in på server kunna se alla konto och filer. Också istallet för äkta SCP med kontrollering man var tvungna att använda en remote desktop. Ren dumheter om du fråga mig. Enda som behovade var en missnöjd kund med kunskap och tid.
Där finns så många webbhotell som är lika dålig i Sverige. Var försiktig när du väljer en.
Hiveminds Magazine | FireOrb | Drupal Street | Drupal offline manual
Webbhotell
Tjena Carl!
Ja, så mycket har jag förstått - mycket hänger på webbhotellet. Själv har jag valt Levonline. Supersnabb support, ,gott om utrymme, hög säkerhet. De är inte de billigaste, men att ha en Drupal hos dem funkar finemang!! Om man bara säger åt dem vilka rättigheter databasanvändaren ska ha.
Jag förväntar mig att webbhotellet hanterar säkerheten på bästa sätt. Men hur vet man att de sköter sitt jobb? Jag har provat lite olika saker, som t.ex. att försöka komma åt databasen från en annan domän - det gick inte, kan jag säga ;-)
Vad ska man utgå ifrån för krav? Kan man säga att "Om de har senaste phpmyadmin så är säkerheten god", eller nått. Förstår du vad jag vill säga? Känner du till något bra säkerhetsforum på nätet så att man kan lära sig lite?
MVH
/Hans
Svar i annan tråd
Hur man kan/bör konfigurera sin sajt för att öka säkerheten finns beskrivet i inlägget Efter installation?. Där finns inga anvisningar om vilket webbhotell man bör använda, men väl vilka filer och kataloger man bör ändra behörighet till, vilka filer man bör ta bort efter installation, etc.
Jag markerar denna fråga som avskriven.
//Johan Falk, i Göteborg över dagen