nixp.ru v3.0

20 января 2017,
пятница,
18:58:46 MSK

DevOps с компанией «Флант»
wiener написал 7 июля 2004 года в 10:12 (318 просмотров) Ведет себя как мужчина; открыл 30 тем в форуме, оставил 76 комментариев на сайте.

Есть скрипт регистрации на сервере для создания почтового ящика…

Как сделать чтобы на основе введённой информации создавался аккаунт ?! Надо думать, что скрипт должен получать права…, но тогда встаёт вопрос как это реализовать и безопасности всего этого дела…

Заранее благодарен.

Дмитрий Шурупов

>> Как сделать чтобы на основе введённой информации создавался аккаунт

1) Путем самостоятельного редактирования скриптом всех необходимых для этого файлов.

2) Вызовами system().

3) Вызовом (опять через system) shell-скрипта, который этим будет заниматься.

>> как это реализовать и безопасности всего этого дела…

Сделать очень (!) тщательную проверку всей вводимой пользователем информации. Т.е., например, разрешить только ^[0-9a-zA-Z]{2,8}$.

wiener
SHuRuP
>>  Как сделать чтобы на основе введённой информации создавался аккаунт

1) Путем самостоятельного редактирования скриптом всех необходимых для этого файлов.

2) Вызовами system().

3) Вызовом (опять через system) shell-скрипта, который этим будет заниматься.

>> как это реализовать и безопасности всего этого дела…

Сделать очень (!) тщательную проверку всей вводимой пользователем информации. Т.е., например, разрешить только ^[0-9a-zA-Z]{2,8}$.

Так ведь при рабоет скрипт не получает должного уровня доступа, а давать ему суид не очень хорошая идея и разрешать доступ к файлам базы пользователя тоже не вариант…

Может можно сделать вызов скрипта который будет получать должный доступ при отсутствии проблем с безопасностью (прохождение аутентификации) или ещё, что можно сделать ?!

Про проверку допустимых знаков вопрос не встаёт…разрешить только латинские буквы и цифры для логина и пароля и русские, латинские, пробел и цифры на всё остальное…вроде вполне безопасно и достаточно.

anonymous

Почему ты не хочешь давать скрипту суид? Если он будет работать от рута, только там где это необходимо, IMHO это будет достаточно безопасно, или нет? Если ты сделаешь защиту от автоматической регистрации, то этот скрипт не будет работать при запуске с шелла.

wiener
ShellCode
Почему ты не хочешь давать скрипту суид? Если он будет работать от рута, только там где это необходимо, IMHO это будет достаточно безопасно, или нет? Если ты сделаешь защиту от автоматической регистрации, то этот скрипт не будет работать при запуске с шелла.

Под сомнением у меня это дело…может действительно есть смысл поставить отдельный скрипт с суидом, который уже будет вызываться из основного скрипта.

Защита от автоматической регистрации это тоже вопрос интересный…это надо выдавать пользователю ключ который он должен будет ввести, но как сделать, чтобы этот ключ не передавался в явном виде для пользователя, а скрипт это понимал…скрытая форма надо полагать отпадает…хотя можно и с ней попробовать…можно имя скрытой формы генерировать по рандому, а её имя передавать скрипту в урл запроса…, но это защита только от тех кому долго разбираться не охота…. А как сделать можно ещё ?!

anonymous

Посмотри, как реализовали защиту от регистрации автоматом на www.mail.ru, там она конечно глючная, но IMHO идея хорошая.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.