بخصوص: متطلبات تشغيل برنامج PBBoard

المشاركة الأصلية كتبت بواسطة: Soliman والبرمج الأخرى التي تطلب تعطيل هذه الدالة تعتبر نقطة ضعف برمجية بها فهي تؤثر على الخادم ايضاً.

شكراً لك.

هل أفهم أن هذا يعني أن البرنامج الذي يتطلب هذه الدالة يعتبر غير آمن الاستخدام ؟

لأني كنت أعتقد بأن البرنامج لن يعمل إذا كانت هذه الدالة مفعلة !

نعم البرنامج الذي يتطلب تشغيل خصائصه على تعطيل الـ safe_mode يعتبر برنامج غير آمن

المشاركة الأصلية كتبت بواسطة: Soliman نعم البرنامج الذي يتطلب تشغيل خصائصه على تعطيل الـ safe_mode يعتبر برنامج غير آمن

عفوا، أرغب منك تصحيح فهمي أكثر ،،

1. كما فهمت منك سابقاً في ردك الذي ذكرت فيه .. أن البرنامج الذي يتطلب هذه الدالة إنما يعتمد على الخادم في الحماية. فما الاشكال في الاعتماد على الخادم في الحماية ؟ ولماذا يعتبر تعطيل هذه الدالة مؤثراً على الخادم ؟</li>
   
2. إذا كانت هذه الخاصية المفترض أنها توفر الأمان للبرنامج، وتمت إزالتها، فكيف سيكون البرنامج آمن حينئذ وقد أزيل الأمان من الخادم ؟</li>
   
3. لم تجبني عن استفساري السابق .. لماذا لا تعمل بعض البرامج عندما تكون هذه الدالة مفعلة ؟ ولماذا تحد هذه الخاصية من بعض خصائص البرنامج من العمل في حال التفعيل ؟</li>
   

انتظر افادتك،

بوركت.

لأن بعض القائمين على الخوادم اي سيرفرات الأستضافة وليس اغلبهم لا يكون لديهم خبرات تؤهلهم في حماية السيرفر او قدرات مادية للتعاقد مع شركات حماية لحماية سيرفراتهم وان اعتمدت عليها كمبرمج في الحماية في بعض الدوال التي في برنامجك والي قد تشكل خطورة فهذه نقطة ضعف .
و إذا كنت تتحدث عن safe mode بالتحديد فهو سينقرض وسيتم اهماله اي الغائه في الإصدارات الجديدة من PHP
وتحديداً من الإصدار PHP 5.4.0 فما أحدث
http://php.net/manual/en/features.safe-mode.php

فتفعيل safe mode يعطل بعض الدوال الخطرة مثل دوال تنفيذ الأوامرعلى النظام كالدالة system() وغيرها
ويحدد صلاحيات بعض الدوال مثل دوال القراءة كالدالة readfile قراءة الملفات حيث ستكون مفعله ولكن لن تستطيع قرائة ملفات النظام الهامه من خلالها
فلو جربت

 readfile('/etc/passwd');

و safe mode مفعل لن تعمل الدالة
والفائدة منه لو تمكن أحد المخربين من خلال ثغرة على موقعك من رفع ملفات php فإن قدرته على إستخدامها في التخريب ستكون محدودة
فلو كان معطل وكانت الإجراءات الأمنية الأخرى معطله أيضا مثل SuPHP و open_basedir
بدلا من أن يتمكن المخترق من إختراق موقعك فقط سيتمكن من إختراق جميع المواقع على السيرفر

اقتبـاس ،، لم تجبني عن استفساري السابق .. لماذا لا تعمل بعض البرامج عندما تكون هذه الدالة مفعلة ؟ ولماذا تحد هذه الخاصية من بعض خصائص البرنامج من العمل في حال التفعيل ؟

لإعتمادهم في عمل بعض خصائص البرنامج على بعض الدوال الموجودة في هذه القائمة
http://www.php.net/manual/en/features.safe-mode.functions.php

فإذا كان safe mode معطل ستعمل جميعها إن لم يقم بتعطيل كل دالة منها على حدى
وإذا كان مفعل فبعضها سيتعطل والبعض الأخر سيتم الحد من خصائص عمله للأمان والحماية
فالبعض منها ان لم يتم تعطيلها او الحد من عملها فسيشكل خطورة على الموقع والخادم . ويتم الأختراق من خلال هذه الدوال

ارجو ان اكون افدتك .

دمت بخير

جوزيت خيراً ..

أعتقد أنها Already ألغيت في الاصدارات الحديثة.

لكن السؤال الذي يبقى هو: إذا كانت هذه الخاصية، وأمثالها، توفر أماناً للسيرفر، كمتطلب أساسي أو معيار فأزيلت لاتاحة الحرية للبرامج أن تعمل (بلا قيود)، على أمل أن يوفر كل مستضيف وسائل الحماية اللازمة لسيرفره. أليس هذا سيشكل خطراً على السيرفر حتى لو كان البرنامج آمناً ؟ وهل وسائل الحماية الأخرى ستكون كافية بمثل المتطلبات الأساسية التي توفرها هذه الدالة وما تحدها من خصائص ؟
بعض مزودي الخدمة ذكروا لي أنهم يستخدمون نسخ قديمة من Php لتوفر هذه الخاصية فيها، وأنهم يوفر وسائل الحماية الأخرى التي ذكرت، لكنهم يقولون بأنهم جربوا ذلك ووجدوها لا تكفي، و أن خبرتهم سنين طوال دعتهم إلى هذ الحكم.

فما الفيصل هنا بنظرك واجتهادك في هذه المسألة ؟

لا حرمت أجراً.

اهلا بك مجدداً
نعم لن يعود هناك امكانية لتشغيل الوضع الآمن في السيرفرات عند استخدام الإصدار PHP6 ..
ولن يكون هناك خيار من أصله أيضاً في php.ini ..
لكن هذا لن يؤثر أمنياً ويسبب التدهور في الحماية فمطوري لغة PHP يعلمون تماماً ما يفعلون ، فقد أوضحوا أن safe_mode لم يكن يعمل بالشكل المرغوب للحماية الكاملة ، فهو أصلح للمبتدئين لحماية سيرفراتهم على حد قولهم ، أما الآن ، فلا داع له ،
حيث سيتاح للجميع استخدام open_basedir للحد من المجلدات التي يصل لها المبرمجين ، وكذلك منع الدوال التي يرغب بمنعها وان خيارات الحماية ستكون متاحة كالسابق في المنع والأمان والحماية .
كما انه سيتم حل بعض من عيوب PHP 5 وسيكون هناك دعم حقيقي لـيونيكود (ترميز النصوص) ، وايضاً سيتم ازالة خاصية علامات الاقتباس السحريه magic_quotes. و ازالة المتغيرات HTTP_*_VARS. و ازالة الخاصية register_globals. بالأضافة إلى ازالة خاصية safe_mode

عذراً فقد تعمقت بافادتك ولا اعلم ان كان لك اطلاع او سابق خبرة ومعرفة في هذا المجال

أشكرك أخرى. على ما أًفدت. وكنت وددت أن لو تعمقت أكثر لأُفيد منك. فالمنهوم لا يشبع.

نعم لي سابق اطلاع ومعرفة وتجربة بسيطة، لكن ليس لي سابق خبرة بمعنى الخبرة. ربما في القريب العاجل إن شاء الله.