Täällä (https://www.ohjelmointiputka.net/keskustelu/
Tietoturvaa on paranneltu ja varmuuskopiointi on lisätty. Omassa versiossani se on automaattinen mutta sitä ei ole vielä uusimpaan ladattavaan versioon ehditty lisätä. En ole vielä poistanut tietoturva-aukkoja joita voi hyödyntää kirjoittelemalla koodia muistion nimeen tai sisältöön koska en oleta että muistion omistaja tuhoaisi omaa sivuaan (Muistio on tarkoitettu vain yhdelle henkilölle). Löytyykä sovelluksesta ulkoisille ihmisille mahdollisia aukkoja tai löytyykö typeriä virheitä koodista?
http://lataa.vjgo.net/file.php?id=1
Muokkaus
tobots.txt kannattaa korvata alla olevan linkin takana olevalla tesktillä jottei muutkaan hakukoneet löydä sivua
http://paste.dy.fi/wkL/plain
Muokkaus 2
Muokkasin robots.txt tiedoston pakettiin paremmaksi, lisäsin automaattisen varmuuskopioinnin mahdollisuuden (määritellään asennusvaiheessa) ja laitoin kaikkiin mahdollisiin kohtiin htmlspecialchars funktion estämään tiedoston nimellä sekoilun. Tiedoston sisältöä ei parsita koska muistion on tarkoitus mahdollistaa muotoilun käyttö.
Olisko tätä jossain testattavana, sillä itse en olen vähän skeptinen, miksei käyttäjät käyttäisivät jotain valmiita, ja hyväksi todettuja "muistio"-palveluilta, joissa on kattavammat ominaisuudet?
Yleensä valmiit sovellukset ovat täynnä turhaa sälää ja niiden lähdekoodi on niin monimutkaista että sen tajuamiseen menee useita viikkoja. Itse pyrin tekemään simppelillä koodilla toimivaa tavaraa.
Paratiisin poika kirjoitti:
Yleensä valmiit sovellukset ovat täynnä turhaa sälää ja niiden lähdekoodi on niin monimutkaista että sen tajuamiseen menee useita viikkoja. Itse pyrin tekemään simppelillä koodilla toimivaa tavaraa.
Entä jos ei ole tarvetta edes sorkkia lähdekoodia, vaan haluaa vaan usealla laitteella toimivan kokonaisuuden?
Itsehän siis käytän Googlen palveluja tämmöiseen muistilistojen tekemiseen.
Voitko olla varma ettei google lue kirjoittamiasi tekstejä? Itse olen tällähetkellä vain huolissani muistioni tietoturva-aukoista jos sellaisia on. Ei muistiossani ole tallessa mitään arkaluontoista materiaalia mutta vuosien varrella olen huomannut että on hyvin vittumaista kun joku tuhoaa tekemiäsi sivustoja.
Paratiisin poika kirjoitti:
Voitko olla varma ettei google lue kirjoittamiasi tekstejä? Itse olen tällähetkellä vain huolissani muistioni tietoturva-aukoista jos sellaisia on. Ei muistiossani ole tallessa mitään arkaluontoista materiaalia mutta vuosien varrella olen huomannut että on hyvin vittumaista kun joku tuhoaa tekemiäsi sivustoja.
Tarviiko mun olla varma asiasta? Ei.
Mieluummin mä olen huoletta siitä, että jos käytän muistiota, niin _minun_ ei tarvitse huolehtia muistion tietoturva-aukoista, vaan palvelun tarjoaja tekee sen. Eli sovellukset päivittyvät itsestään, samoin kuin palvelun taustatekniikka. Minun ei siis tarvitse tehdä asian eteen mitään.
Sen sijaan jos käyttäisin muistiotasi, joutuisin muistioiden lisäksi vahtimaan jatkuvasti, milloin olet päivittänyt softaasi ja varmistamaan, ettei päivitys hävitä esim. vanhoja muistioita.
ps.
Tuhoaako joku sivujasi? Ota säännöllisesti varmuuskopioita. Huolehdi tietoturvastasi.
Voitko itse olla varma, ettei tuota sovellustasi murreta? Voitko olla varma, ettei puhelintasi kuunnella? Ettei emailiasi lueta? ettei pankkitoimintaasi seurata? Ei et voi olla varma juurikaan mistään. Googlella tuskin ollaan kovin kiinnostuneita ihmisten tuottamasta materiaalista.
login.php näytti muuten melko mielenkiitoiselta. Asetat vakiotekstin, kun maagisesti löytyvät $pass ja $pass2 muuttujat vastaavat sopivia salasanoja.
Alla oleva snippetti on mielestäni hiukan kyseenalainen. Paremmin tietävät voivat analysoida tarkemmin, mutta hyvän koodauksen mukaista tämä ei ole.
<?php
if(!file_exists("settings.php")) {
header("Location: install.php");
exit;
}
date_default_timezone_set("Europe/Helsinki");
if(!$_SESSION["sisalla"]) $_SESSION["sisalla"] = "1ee2225a0118c6a8ff464cf2926cf352";
include("settings.php");
session_start();
if(isset($_POST["salasana"])) {
if(md5($_POST["salasana"]) == $pass && md5($_POST["salasana2"]) == $pass2) {
$_SESSION["sisalla"] = "ea18d46dcebde007328507ff1e3d0809";
}else {
echo "<span style='color:red;'>Väärä salasana!</span><br>";
}
}
$sisalla = false;
if($_SESSION["sisalla"] == "ea18d46dcebde007328507ff1e3d0809") $sisalla = true;
if(!$sisalla) {
$title = "Kirjaudu";
include("header.php");
?>Mitä vikaa login.php:n koodissa on? olen käyttänyt jo pitkään tuota mutta vain yhden salasanan versiota esim sovelluksessa jonka kopioin putkasta jota käytin tiedostojen muokkaamiseen ilman ftp:tä eikä ongelmia ole ollut. käytän tuota sessioni versiota koska sen yietoja ei voi muuttaa muttavoisi toisaalta olla fiksua käyttää $_SESSION["sisalla"] hyväksyttävänä määritteenä jotain automatisoitua sen sijaan että käyttäisin kyllä sanan md5 hashia.
Aihe on jo aika vanha, joten et voi enää vastata siihen.