Segurança: Escondendo o PHP
A Segurança de um servidor passa por vários níveis de atividades, como versões bem atualizadas e instaladas, configurações corretas e permissões de usuários bem identificadas. Bom poderia citar varias técnicas de segurança nesta área.
Mais existe também o nível de segurança chamado “obscuridão” apesar de ser um nível fraco de segurança, (não deve ser a única política de segurança), dificulta ou atrasa em muito um ataque em seu servidor.
Este tipo de segurança é muito usando em protocolos de redes e em serviços, ou seja, um servidor esconde as portas os serviços que estão sendo executados para que seu provável invasor não saiba. Vamos ver como fazer isto num servidor web.
Setando expose_php = off em seu arquivo php.ini, você reduz a quantidade de informação disponível para ele. Através da função phpinfo(); assim você não disponibilizar informações importantes para seu provável invasor dando a ele um dor de cabeça a mais, pesquisar sobre seu servidor.
Uma outra tática também muito útil é configurar o servidor apache para interpretar diferentes tipos de arquivos através do PHP, ou com uma diretiva .htaccess, ou na própria configuração do apache. Você pode então usar extensões de arquivos enganadoras:
Escondendo PHP fazendo parecer com outra linguagem
Ou escondê-lo completamente:
Usando tipos desconhecidos para extensões do PHP
Ou escondê-lo no código HTML, que tem baixa chance de ser atingido porque todos os HTML serão interpretados pelo PHP:
Usando tipos de HTML para extensões do PHP
Para este exemplo funcionar corretamente, você deve renomear todos os seus arquivos PHP com as extensões acima.
Conclusão: Esta é uma forma de atrasar seu possível invasor limitando as informações a ele ou simplesmente tornando seu servidor obscuro ao seu invasor. O que não quer disser que deva ser sua única forma de proteção.
Espero ter ajuda, até a próxima !!
Leo Genilhu
Mais existe também o nível de segurança chamado “obscuridão” apesar de ser um nível fraco de segurança, (não deve ser a única política de segurança), dificulta ou atrasa em muito um ataque em seu servidor.
Este tipo de segurança é muito usando em protocolos de redes e em serviços, ou seja, um servidor esconde as portas os serviços que estão sendo executados para que seu provável invasor não saiba. Vamos ver como fazer isto num servidor web.
Setando expose_php = off em seu arquivo php.ini, você reduz a quantidade de informação disponível para ele. Através da função phpinfo(); assim você não disponibilizar informações importantes para seu provável invasor dando a ele um dor de cabeça a mais, pesquisar sobre seu servidor.
Uma outra tática também muito útil é configurar o servidor apache para interpretar diferentes tipos de arquivos através do PHP, ou com uma diretiva .htaccess, ou na própria configuração do apache. Você pode então usar extensões de arquivos enganadoras:
Escondendo PHP fazendo parecer com outra linguagem
# Fazer o código PHP parecer com outros tipos de códigos AddType application/x-httpd-php .asp .py .pl
Ou escondê-lo completamente:
Usando tipos desconhecidos para extensões do PHP
# Fazer o código PHP parecer com tipos de códigos desconhecidos AddType application/x-httpd-php .bop .foo .133t
Ou escondê-lo no código HTML, que tem baixa chance de ser atingido porque todos os HTML serão interpretados pelo PHP:
Usando tipos de HTML para extensões do PHP
# Fazer todo o código parecer com HTML AddType application/x-httpd-php .htm .html
Para este exemplo funcionar corretamente, você deve renomear todos os seus arquivos PHP com as extensões acima.
Conclusão: Esta é uma forma de atrasar seu possível invasor limitando as informações a ele ou simplesmente tornando seu servidor obscuro ao seu invasor. O que não quer disser que deva ser sua única forma de proteção.
Espero ter ajuda, até a próxima !!
Leo Genilhu
Olá leo,
O que eu quis dizer é que se você muda as tuas pagina dinamicas de .php para .htm ou .html o apache não vai saber o que é dinâmico e o que é estático de modo que vai passar tudo para que o php execute este vai vasculhar o teu arquivo html estático procurando um <?php e não vai achar isso consome recurso do server desnecessariamente compreende?
O que eu quis dizer é que se você muda as tuas pagina dinamicas de .php para .htm ou .html o apache não vai saber o que é dinâmico e o que é estático de modo que vai passar tudo para que o php execute este vai vasculhar o teu arquivo html estático procurando um <?php e não vai achar isso consome recurso do server desnecessariamente compreende?
11/04/2006 11:11am
(~18 anos atrás)
Encryptografar toda a parafernália em 256 bits, nem cristo decifra sem as chaves
29/03/2006 5:35pm
(~19 anos atrás)
Ola Tadeu,
Acredito que você não tenha entendi direito o artigo ( aconselhor ler novamente).
quanto falo em trocar as extensões dos arquivos php para html ou htm
estou falando de script dinâmicos e não estaticos.
Um abraço
qq duvida me envie um email
grato
Acredito que você não tenha entendi direito o artigo ( aconselhor ler novamente).
quanto falo em trocar as extensões dos arquivos php para html ou htm
estou falando de script dinâmicos e não estaticos.
Um abraço
qq duvida me envie um email
grato
28/03/2006 7:12am
(~19 anos atrás)
Legal a idéia mas é importante notar que se você põe os .htm e .html para executar pelo php você vai chamar o módulo php para interpretar algo que é estático, o que vai consumir recursos do servidor para traduzir sem necessidade. Só pra ficar de olho ;)
27/03/2006 6:12am
(~19 anos atrás)
Eu sempre vejo alguns sites com o seguinte link, pagina.html?var=12233
e não entendia como o cara conseguia passar esses valor para paginas html, para o mesmo ser interpretada pelo PHP.
E com certeza é uma forma muito boa de proteger um pouco nosso trabalho.
Quero deixar aqui também o meu repúdio ao REDOCTOBER pelo infeliz comentário dele.
Se você não tá aqui pra ajudar amigo, não atrapalha, apenas observe, acho que desvalorizar o trabalho de outras pessoas não o torna melhor, e sim um profissional arrogante.
Pois o artigo trata de um assunto desconhecido para poucos e se o mesmo tem no MANUAL DO PHP, tenha certeza QUE A MAIORIA dos artigos tem alguma coisa no manual. POIS ESTAMOS FALANDO DE UMA LINGUAGEM DE PROGRAMAÇÃO, logo, é impossível escrever algum artigo de algum procedimento que não tenha algo no MANUAL.
Acho que os moderadores deveriam apagar esses tipos de comentários, pois não servem pra nada.
Um abraço a todos,
e não entendia como o cara conseguia passar esses valor para paginas html, para o mesmo ser interpretada pelo PHP.
E com certeza é uma forma muito boa de proteger um pouco nosso trabalho.
Quero deixar aqui também o meu repúdio ao REDOCTOBER pelo infeliz comentário dele.
Se você não tá aqui pra ajudar amigo, não atrapalha, apenas observe, acho que desvalorizar o trabalho de outras pessoas não o torna melhor, e sim um profissional arrogante.
Pois o artigo trata de um assunto desconhecido para poucos e se o mesmo tem no MANUAL DO PHP, tenha certeza QUE A MAIORIA dos artigos tem alguma coisa no manual. POIS ESTAMOS FALANDO DE UMA LINGUAGEM DE PROGRAMAÇÃO, logo, é impossível escrever algum artigo de algum procedimento que não tenha algo no MANUAL.
Acho que os moderadores deveriam apagar esses tipos de comentários, pois não servem pra nada.
Um abraço a todos,
11/03/2006 3:44am
(~19 anos atrás)
É uma forma de enganar os menos experientes, mas tudo bem. O artigo cumpre a tarefa a qual foi designado.
Parabéns e continue escrevendo...
Parabéns e continue escrevendo...
22/02/2006 4:43pm
(~19 anos atrás)
isso vai ser util pakas
pensa antes de falar e dexa os cara ajudar