Jump to content
Justveryhappy

Отвалилась БД - при доступе к сайту видны логин\пароль к ней

Recommended Posts

Коллеги, привет.

 

Вопрос не напрямую с опенкартом связан, но немного зацепил.

Вчера у хостинга adminvps были проблемы с виртуальным сервером и отвалились на сутки базы данных у всех размещенных сайтов с него.

Больше удивило, что при проблеме доступа к БД, опенкарт выдал в лоб логин и пароль от нее при попытке подключиться к ней, что не очень секьюрно.

1112514840_.thumb.jpg.b6253c9168e38b77fbd9c71729ff63c1.jpg

 

С одной стороны можно было бы временно удалить конфиг файлы, но так себе решение, когда у сайта нет поддержки 24\7

Поделитесь, пжл, решением, как лучше скрыть от пользователей такого рода информацию на будущее?

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

Share this post


Link to post
Share on other sites

Для меня было бы правильное решение - это менять сразу хостинг. 

Share this post


Link to post
Share on other sites

на сколько я понимаю такие ошибки вываливаются если включено их отображение в пхп, если отключить, будет белый экран

  • +1 1

Share this post


Link to post
Share on other sites
1 час назад, Justveryhappy сказал:

В идеале, наверное нужно отдавать пустую страницу с ошибкой 503, или с текстовой заглушкой про недоступность сервиса, но вдруг есть более правильные решения?

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

image.thumb.png.551e44afdecbdd5d4ab75968f215e48f.png

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces

ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так

error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

  • +1 1

Share this post


Link to post
Share on other sites

 

  • +1 1

Share this post


Link to post
Share on other sites
1 hour ago, Jurgen said:

ну вы верно мыслите. Если у вас попытаться зайти на несуществующий урл то будет вот так

image.thumb.png.551e44afdecbdd5d4ab75968f215e48f.png

 

тоже самое можно сделать для любой другой ошибки, будь то 502, 503 или 504 

Просто укажите в .htacces

ErrorDocument 400 http://yoursite.com/400.html
ErrorDocument 404 http://yoursite.com/404.html
ErrorDocument 500 http://yoursite.com/500.html

Если у вас nginx+php-fpm то так

error_page 500 http://yoursite.com/500.html;

и тогда в ситуациях как у вас было, будет отображаться красивая страница, а не вот это вот все

 

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

Share this post


Link to post
Share on other sites
1 час назад, Dontmatter12 сказал:

Т.е. дело в неправильной (несекьюрной) настройке вебсервера, я правильно понимаю ? Настроить энджиникс нормально и не будет сливаться пароль при досе мускуля? 

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

Share this post


Link to post
Share on other sites
On 6/1/2020 at 12:33 PM, Jurgen said:

тут скорее косяки с обоих сторон. с одной стороны косяк опенкарта что он так это все вываливает в случае когда база отваливается

а с другой стороны подобные ошибки нужно отлавливать и заворачивать на красивую страницу

Неужели опенкарт не проходил аудита безопасности кода  ? Сколько еще там таких зеродеев, интересно...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.