+1

Segurança: Escondendo o PHP

criado por leo genilhu em 17/02/2006 9:19am
A Segurança de um servidor passa por vários níveis de atividades, como versões bem atualizadas e instaladas, configurações corretas e permissões de usuários bem identificadas. Bom poderia citar varias técnicas de segurança nesta área.

Mais existe também o nível de segurança chamado “obscuridão” apesar de ser um nível fraco de segurança, (não deve ser a única política de segurança), dificulta ou atrasa em muito um ataque em seu servidor.

Este tipo de segurança é muito usando em protocolos de redes e em serviços, ou seja, um servidor esconde as portas os serviços que estão sendo executados para que seu provável invasor não saiba. Vamos ver como fazer isto num servidor web.

Setando expose_php = off em seu arquivo php.ini, você reduz a quantidade de informação disponível para ele. Através da função phpinfo(); assim você não disponibilizar informações importantes para seu provável invasor dando a ele um dor de cabeça a mais, pesquisar sobre seu servidor.

Uma outra tática também muito útil é configurar o servidor apache para interpretar diferentes tipos de arquivos através do PHP, ou com uma diretiva .htaccess, ou na própria configuração do apache. Você pode então usar extensões de arquivos enganadoras:

Escondendo PHP fazendo parecer com outra linguagem

# Fazer o código PHP parecer com outros tipos de códigos
AddType application/x-httpd-php .asp .py .pl

Ou escondê-lo completamente:

Usando tipos desconhecidos para extensões do PHP

# Fazer o código PHP parecer com tipos de códigos desconhecidos
AddType application/x-httpd-php .bop .foo .133t

Ou escondê-lo no código HTML, que tem baixa chance de ser atingido porque todos os HTML serão interpretados pelo PHP:

Usando tipos de HTML para extensões do PHP

# Fazer todo o código parecer com HTML
AddType application/x-httpd-php .htm .html

Para este exemplo funcionar corretamente, você deve renomear todos os seus arquivos PHP com as extensões acima.

Conclusão: Esta é uma forma de atrasar seu possível invasor limitando as informações a ele ou simplesmente tornando seu servidor obscuro ao seu invasor. O que não quer disser que deva ser sua única forma de proteção.

Espero ter ajuda, até a próxima !!

Leo Genilhu

Comentários:

Mostrando 1 - 10 de 16 comentários
e se o cara fizer um site todo em php?
isso vai ser util pakas
pensa antes de falar e dexa os cara ajudar
06/01/2007 9:59am (~10 anos atrás)

Olá leo,
O que eu quis dizer é que se você muda as tuas pagina dinamicas de .php para .htm ou .html o apache não vai saber o que é dinâmico e o que é estático de modo que vai passar tudo para que o php execute este vai vasculhar o teu arquivo html estático procurando um <?php e não vai achar isso consome recurso do server desnecessariamente compreende?
11/04/2006 11:11am (~10 anos atrás)

Encryptografar toda a parafernália em 256 bits, nem cristo decifra sem as chaves
29/03/2006 5:35pm (~10 anos atrás)

leo genilhu disse:
Ola Tadeu,

Acredito que você não tenha entendi direito o artigo ( aconselhor ler novamente).

quanto falo em trocar as extensões dos arquivos php para html ou htm
estou falando de script dinâmicos e não estaticos.


Um abraço
qq duvida me envie um email

grato



28/03/2006 7:12am (~10 anos atrás)

Legal a idéia mas é importante notar que se você põe os .htm e .html para executar pelo php você vai chamar o módulo php para interpretar algo que é estático, o que vai consumir recursos do servidor para traduzir sem necessidade. Só pra ficar de olho ;)
27/03/2006 6:12am (~10 anos atrás)

Otima ideia!

Parabens pelo tutorial
22/03/2006 2:15pm (~10 anos atrás)

André Taiar disse:
Eu gostei cara!
Bela dica, não imaginava como fazê-lo.
17/03/2006 4:56am (~10 anos atrás)

Eu sempre vejo alguns sites com o seguinte link, pagina.html?var=12233

e não entendia como o cara conseguia passar esses valor para paginas html, para o mesmo ser interpretada pelo PHP.

E com certeza é uma forma muito boa de proteger um pouco nosso trabalho.

Quero deixar aqui também o meu repúdio ao REDOCTOBER pelo infeliz comentário dele.
Se você não tá aqui pra ajudar amigo, não atrapalha, apenas observe, acho que desvalorizar o trabalho de outras pessoas não o torna melhor, e sim um profissional arrogante.
Pois o artigo trata de um assunto desconhecido para poucos e se o mesmo tem no MANUAL DO PHP, tenha certeza QUE A MAIORIA dos artigos tem alguma coisa no manual. POIS ESTAMOS FALANDO DE UMA LINGUAGEM DE PROGRAMAÇÃO, logo, é impossível escrever algum artigo de algum procedimento que não tenha algo no MANUAL.
Acho que os moderadores deveriam apagar esses tipos de comentários, pois não servem pra nada.

Um abraço a todos,
11/03/2006 3:44am (~10 anos atrás)

John Marques disse:
Veio interessante, naum sabia disso.
vleu
=)
22/02/2006 10:25pm (~10 anos atrás)

Paulo disse:
É uma forma de enganar os menos experientes, mas tudo bem. O artigo cumpre a tarefa a qual foi designado.

Parabéns e continue escrevendo...
22/02/2006 4:43pm (~10 anos atrás)

Novo Comentário:

(Você pode usar tags como <b>, <i> ou <code>. URLs serão convertidas para links automaticamente.)