Jay
19.12.2005, 18:48
Пользуюсь услугами очень хорошего провайдера по бесплатной программе. При использовании услуг данной компании, обязательным является такой момент:
"проверка программой XSpider компании PTSecurity сайтов на предмет выявления уязвимостей."
Раньше я использовал модуль "Your_Account" с No_mail_YA_hack, но были проблемы с "секретным кодом" - он не работал, я заменил на стандартный (php-nuke 7.6+2.9) - теперь все работает. Но после проверки сайта этой программой я получил такой отчет:
Незащищенная передача данных
Описание
Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.
Список форм:
POST /modules.php?name=Your_Account HTTP/1.1
op=login&username=&random_num=157816&gfx_check=676166&user_password=
POST /modules.php?name=Your_Account HTTP/1.1
username=&user_password=&redirect=&mode=&f=&t=&op=login
POST /modules.php?name=Your_Account HTTP/1.1
username=&user_email=&user_password=&user_password2=&op=new%20user
Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.
Решение
Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.
Серьезная ли это проблема и как возможно ее решить. Не хочется пока доставать службу поддержки, во-первых, сайт бесплатно размещен и не хочется лищний раз тревожить, а во-вторых, они "не занимаются настройкой стороннего программного обеспечения. ", так что неизвестно, смогут ли помочь...
"проверка программой XSpider компании PTSecurity сайтов на предмет выявления уязвимостей."
Раньше я использовал модуль "Your_Account" с No_mail_YA_hack, но были проблемы с "секретным кодом" - он не работал, я заменил на стандартный (php-nuke 7.6+2.9) - теперь все работает. Но после проверки сайта этой программой я получил такой отчет:
Незащищенная передача данных
Описание
Обнаружены формы, использующиеся для передачи важных данных на сервер в незащищенном виде.
Список форм:
POST /modules.php?name=Your_Account HTTP/1.1
op=login&username=&random_num=157816&gfx_check=676166&user_password=
POST /modules.php?name=Your_Account HTTP/1.1
username=&user_password=&redirect=&mode=&f=&t=&op=login
POST /modules.php?name=Your_Account HTTP/1.1
username=&user_email=&user_password=&user_password2=&op=new%20user
Протокол HTTP является открытым, то есть трафик общения компьютеров не шифруется и может быть перехвачен путем прослушивания сети.
Решение
Использовать защищенный протокол SSL 3.0 или TLS 1.0 для передачи важной информации на сервер.
Серьезная ли это проблема и как возможно ее решить. Не хочется пока доставать службу поддержки, во-первых, сайт бесплатно размещен и не хочется лищний раз тревожить, а во-вторых, они "не занимаются настройкой стороннего программного обеспечения. ", так что неизвестно, смогут ли помочь...