Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Отвалилась БД - при доступе к сайту видны логин\пароль к ней


Recommended Posts

Коллеги, привет.

 

Вопрос не напрямую с опенкартом связан, но немного зацепил.

Вчера у хостинга adminvps были проблемы с виртуальным сервером и отвалились на сутки базы данных у всех размещенных сайтов с него.

Больше удивило, что при проблеме доступа к БД, опенкарт выдал в лоб логин и пароль от нее при попытке подключиться к ней, что не очень секьюрно.

1112514840_.thumb.jpg.b6253c9168e38b77fbd9c71729ff63c1.jpg

 

С одной стороны можно было бы временно удалить конфиг файлы, но так себе решение, когда у сайта нет поддержки 24\7

Поделитесь, пжл, решением, как лучше скрыть от пользователей такого рода информацию на будущее?

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

Надіслати
Поділитися на інших сайтах


1 час назад, Justveryhappy сказал:

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

image.thumb.png.551e44afdecbdd5d4ab75968f215e48f.png

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces

ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так

error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

  • +1 1
Надіслати
Поділитися на інших сайтах


1 hour ago, Jurgen said:

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

image.thumb.png.551e44afdecbdd5d4ab75968f215e48f.png

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces


ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так


error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

 

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

Надіслати
Поділитися на інших сайтах


1 час назад, Dontmatter12 сказал:

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

Надіслати
Поділитися на інших сайтах


On 6/1/2020 at 12:33 PM, Jurgen said:

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

Неужели опенкарт не проходил аудита безопасности кода  ? Сколько еще там таких зеродеев, интересно...

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.