On 16.04.2014 20:09, profe wrote:
On Mon, 14 Apr 2014 15:59:34 +0200 marcogh marcogh@circolab.net wrote
Io direi di non metterlo.
qualche altra persona vuole dire la propria?
Scritto col culo, un sacco di problemi di sicurezza.
della motivazione di gh non si capisce niente! (scusa gh!)
- personalmente non capisco se e' scritto male riferito al linguaggio
usato (a priori) o se e' un rappiccico il codice.
- relativamente ai problemi di sicurezza ho provato a chiedere a
_internet_ e non mi ha fornito una lunga lista di problemi trovati e non risolti.
- ho provato a dare un occhio a diversi siti, tra cui questo
http://www.cvedetails.com (scelto a caso!) e anche qui non ho avuto grandi risposte, se non quella di non trovare phpmyadmin nelle prime posizioni.
per essere chiari: _non sono pagato_ da phpmyadmin per le installazioni che _porto_ a termine, magari vuole essere un modo di capire se in effetti questo software e' realmente dannoso.
bella ;) profe
cerco di essere piu' preciso:
a parte i problemi di sicurezza intrinseci di una applicazione php (eseguibili nella documentroot, modello di sicurezza vetusto), phpmyadmin ha una storia di problemi non indifferenti, vediamo qualche caso pratico.
al circolab (probabilmente) qualcuno tempo fa e' entrato da un phpmyadmin installato come plugin di wordpress.
al cespu hanno sfondato il server di recente a causa di una installazione di phpmyadmin vecchia.
nei log del circolab trovi migliaia - se non milioni - di tentativi verso phpmyadmin, in tutte le varianti possibili, in quanto e' uno dei vettori preferiti dai cracker per entrare in un sistema.
se non ci credi, vai nei log del tuo server di posta e cerca "myadmin" e guarda tutti i tentativi che ci trovi dentro.
al circolab, cercando nei file di log (non nello storico gzippato) ho trovato:
$ sudo grep -i 'myadmin' *error.log | wc -l 10661
Concludendo, phpmyadmin e' un problema di sicurezza, io sul server non la vorrei.
se proprio non si riesce a fare a meno, che almeno ci sia installata la versione debian (che quindi riceve sicuramente gli aggiornamenti in tempo reale).
Per le operazioni più complicate sul dB io di solito faccio un tunnel ed uso un applicazione dal mio PC. Per il resto i comandi da console sono più che sufficienti. Ok no phpmyshit
On 17 aprile 2014 09:05:44 CEST, marcogh@circolab.net wrote:
On 16.04.2014 20:09, profe wrote:
On Mon, 14 Apr 2014 15:59:34 +0200 marcogh marcogh@circolab.net
wrote
Io direi di non metterlo.
qualche altra persona vuole dire la propria?
Scritto col culo, un sacco di problemi di sicurezza.
della motivazione di gh non si capisce niente! (scusa gh!)
- personalmente non capisco se e' scritto male riferito al linguaggio
usato (a priori) o se e' un rappiccico il codice.
- relativamente ai problemi di sicurezza ho provato a chiedere a
_internet_ e non mi ha fornito una lunga lista di problemi trovati e non risolti.
- ho provato a dare un occhio a diversi siti, tra cui questo
http://www.cvedetails.com (scelto a caso!) e anche qui non ho avuto grandi risposte, se non quella di non trovare phpmyadmin nelle prime posizioni.
per essere chiari: _non sono pagato_ da phpmyadmin per le
installazioni
che _porto_ a termine, magari vuole essere un modo di capire se in
effetti
questo software e' realmente dannoso.
bella ;) profe
cerco di essere piu' preciso:
a parte i problemi di sicurezza intrinseci di una applicazione php (eseguibili nella documentroot, modello di sicurezza vetusto), phpmyadmin ha una storia di problemi non indifferenti, vediamo qualche caso pratico.
al circolab (probabilmente) qualcuno tempo fa e' entrato da un phpmyadmin installato come plugin di wordpress.
al cespu hanno sfondato il server di recente a causa di una installazione di phpmyadmin vecchia.
nei log del circolab trovi migliaia - se non milioni - di tentativi verso phpmyadmin, in tutte le varianti possibili, in quanto e' uno dei vettori preferiti dai cracker per entrare in un sistema.
se non ci credi, vai nei log del tuo server di posta e cerca "myadmin" e guarda tutti i tentativi che ci trovi dentro.
al circolab, cercando nei file di log (non nello storico gzippato) ho trovato:
$ sudo grep -i 'myadmin' *error.log | wc -l 10661
Concludendo, phpmyadmin e' un problema di sicurezza, io sul server non la vorrei.
se proprio non si riesce a fare a meno, che almeno ci sia installata la
versione debian (che quindi riceve sicuramente gli aggiornamenti in tempo reale).
-- cialtroni mailing list
On April 17, 2014 9:12:14 AM CEST, aLe ale@circolab.net wrote:
Per le operazioni più complicate sul dB io di solito faccio un tunnel ed uso un applicazione dal mio PC. Per il resto i comandi da console sono più che sufficienti. Ok no phpmyshit
Morriz lo usa sempre con un htaccess ulteriore: potremmo metterlo così anche noi, visto che al profe - e probabilmente ad altri - serve.
Il 17/04/2014 10:22, marcogh ha scritto:
On April 17, 2014 9:12:14 AM CEST, aLe ale@circolab.net wrote:
Per le operazioni più complicate sul dB io di solito faccio un tunnel ed uso un applicazione dal mio PC. Per il resto i comandi da console sono più che sufficienti. Ok no phpmyshit
Morriz lo usa sempre con un htaccess ulteriore: potremmo metterlo così anche noi, visto che al profe - e probabilmente ad altri - serve.
Per noi con l'utente sulla macchina, la mia soluzione, vi assicuro che e' molto piu' comoda. Io uso addirittura MySQL Workbench, con cui si puo' fare lo sviluppo grafico del DB. Il prob puo' essere per gli utenti dei servizi. In questo caso, forse meglio optare per Adminer (http://www.adminer.org/) come a fatto autistici. ciao aLe
On Thu, 17 Apr 2014 10:27:04 +0200 aLe ale@circolab.net wrote
Il 17/04/2014 10:22, marcogh ha scritto:
On April 17, 2014 9:12:14 AM CEST, aLe ale@circolab.net wrote:
Per le operazioni più complicate sul dB io di solito faccio un tunnel ed uso un applicazione dal mio PC. Per il resto i comandi da console sono più che sufficienti.
d'accordo con te, ale. la premessa e' un'altra. non sto cercando la via piu' _difficile_ per arrivare a gestire il db da remoto con un terminale! la questione e' che se qualcuno ha un utente/sito/gestione/cazzolo che vuole accedere al db associato, non ha la possibilita' di fare modifiche.
Morriz lo usa sempre con un htaccess ulteriore: potremmo metterlo così anche noi, visto che al profe - e probabilmente ad altri - serve. Per noi con l'utente sulla macchina, la mia soluzione, vi assicuro che e' molto piu' comoda. Io uso addirittura MySQL Workbench, con cui si puo' fare lo sviluppo grafico del DB.
e' vero, morriz usa questo escamotage!
Il prob puo' essere per gli utenti dei servizi. In questo caso, forse meglio optare per Adminer (http://www.adminer.org/) come a fatto autistici.
non l'ho mai usato. gli do un occhiata. potrebbe essere una possibilita'! grazie
ciao aLe
bella ;) profe
-
aLe -
marcogh -
marcogh@circolab.net
-
profe