PUBLIC MARKS from bacon with tags Segurança & hosting

ok, mas como aplicar isso na prática com xoops? estou agora curioso para pesquisar sobre segurança do envio de informações do xoops, mas não achei ainda um tutorial sobre como isso pode ser feito no xoops. na hospedagem de um cliente, eu vi que eles disponibilizam um certificado opcional. quando ele é ativado, uma parte do espaço de hospedagem é transferido para um outro servidor seguro. quer dizer: se minha hospedagem tinha 100mb, agora tem 90mb e 10mb 'seguros'. eu então recebo um endereço no formato cliente.clickseguro.com em que aparece o dito cadeadozinho. legal! mas. e o que eu faço com isso? será que eu devo transplantar as áreas do meu xoops que quero que sejam seguras (login, carrinho de compras, formulários, etc) para essa área segura da minha hospedagem? e como eu faço para manter a comunicação entre a área insegura e a segura?

somente um alerta, muito cuidado com módulos que obrigam a utilização de [ register_globals = on ] e estando em servidores com serviços de hospedagem compartilhados. muitas falhas de segurança tem iniciado por este motivo.

amigos! depois de muito tempo fora e até mesmo de visitar meu proprio portal, acreditando na segurança, não atualizei com novas versões e fui terrivelmente afetado a ponto do suporte de hospedagem remover a conta devido ao tamanho do estrago. vou reiniciar do zero seguindo as dicas aqui postadas. snif snif agora não adianta mais, é arregaçar as mangas e fazer funcionar de novo. obrigado pelas dicas e vamos em frente. pela experiencia dos amigos, favor relacionar os módulos suspeitos para que eu não os instale de novo e também qual versão disponivel já com as últimas seguranças inclusas? abraços; virtual. ganhei.net (invadido depois de varias outras tentativas anteriores segundo o suporte de hospedagem).

fique esperto! desde 25 de maio até hoje (pelo menos aconteceu comigo) começou inúmeras tentativas de ataques a portais que usam xoops. tive 2 portais afetados com diferentes versões, módulos e hospedagem um inclusive na locaweb que digamos é chato com segurança. onde gravaram na pasta uploads, cache, templates_c. bem as versões que estava rodando era o xoops 2.0.7.3 e outro 2.0.13.2 imediatamente fiz os updates para a versão 2.0.16, que sabemos que tem alguns bugs, mas até agora não enfrentei nenhum. recomendo: - façam o update para a última versão! analisando pelo analog do cpainel achei algumas tentativas de entradas em módulos que podem ser hackeados eles são o xoopsconteudo, tinycontent graças a uma pasta chamada spaw que é um editor visual que recetemente foi hackeado que pode ser usado com os módulos ela fica [nome módulo]/admin/spaw. recomendo: - excluam imediatam

o grande motivo por eu não já ter mudado foi o valor .. eles tem um valor excelente ,isso eu não posso negar. foi neste sentido que falei aquilo. colocar redirecionamento precisa remover o portal, então sua hospedagem está saindo mais cara que uma profissional. conselho de amigo e profissional, quando o portal é pessoal pague o mais barato e não espere qualidade, quando o portal é profissional não arrisque, hospedagem mais cara não é grife, é infra-estrutura, suporte e segurança.

ok bruno, vamos para o plano b :-d - vá em seu banco de dados e zere a tabela sessions. deixe esta infeliz vazia. - apague o conteúdo de templates_c e verifique as permissões se estão com 755 ou 777. - va no diretório cache e apague tudo só deixe a pasta index.html. verifique as permissões também do diretório se estão com 755 ou 777. tente isto, se falhar iremos desabilitar todos os módulos que existem mas sem desinstalar nada. agora tu tem uma cópia do seu phpinfo anterior para comparar com um phpinfo atual muitas vezes os serviços de hospedagem alteram configurações sem avisar os coitados dos utilizadores com as desculpas costumeiras, "problemas de segurança", mas simplesmente omitem o que foi alterado e o que pode afetar o trabalho do servidor. eu espero que não seja isto, mas temos que tentar todas as opções não é

resposta bem rápida: a maioria dos serviços de hospedagem (todos) tem seus servidores compartilhado, logo não podem deixar uma única configuração por causa de um aplicativo ou seja se deixar 'register_globals' : off outros aplicativos que estão hospedados no mesmo servidor podem deixar de funcionar, então vale a pena aplicar outros meios de segurança como por exemplo editar o .htaccess com outros comandos de segurança! oi. então, o detalhe é que não é o register_globals. esse ainda dá para denifir pessoalmente para cada portal usando o .htaccess. já o allow_url_fopen não pode ser alterado pelo .htaccess. ele só é alterado pelo administrador do servidor, e dá para alterar apenas para um site. o problema é que com ele off a admin de grupos não entra. já olhei a estrutura do system, e na pasta de admin, vi que o único arquivo dentro da admin mas fora de subpatas é um arquivo referente à permi

resposta bem rápida: a maioria dos serviços de hospedagem (todos) tem seus servidores compartilhado, logo não podem deixar uma única configuração por causa de um aplicativo ou seja se deixar 'register_globals' : off outros aplicativos que estão hospedados no mesmo servidor podem deixar de funcionar, então vale a pena aplicar outros meios de segurança como por exemplo editar o .htaccess com outros comandos de segurança!

estrou encobrindo o número correto do ip por motivos de segurança. ele dá página não encontrada quando solicito a opção perfil e dentro de perfinl avatar. normalmente está opção me levaria a uma tela onde eu posso alterar o avatar, listar, etc. o engraçado é que este problema não ocorre em minha máquina local de teste, somente no endereço onde publiquei. este endereço funciona usando o número do ip direto porque não está qualificado o seu dns. o engraçado é que todo o portal funciona perfeitamente, somente até o presente momento esta opção falha. outro teste que fiz para ter certeza foi de colocar dentro do banco de dados o nome do avatar que gostaria e aí consigo mostrar na tela de perfil, mas ao clicar em avatar o problema ocorre, ou seja, só consigo trocar o avatar se for dentro do banco de dados. como este endereço está hospedado em um servidor linux, pode ser porque tem algo com alguma permissão, não tenho certeza. <