¡Hola Forastero!
Pareces nuevo por aquí. Si quieres participar, ¡pulsa uno de estos botones!
Categorías
- 1.6K All Categories
- 83 Noticias, Anuncios e Información
- 244 Zona de presentaciones
- 369 Dudas/Problemas
- 12 FAQ
- 70 Versión 1.0 Spirit
- 23 Beta1
- 44 Beta2
- 592 Aplicación y Uso del Framework
- 430 Principiantes
- 64 Generadores de Formularios
- 91 (M)odels, (V)iews, (C)ontroller
- 188 Desarrollo del Framework
- 92 Bugs y Problemas
- 53 Nueva Funcionalidad y Sugerenc
- 36 Desarrolladores
- 6 Documentación
- 38 Programación (no relacionado)
- 3 Xhtml y css
- 13 PHP
- 7 Javascript
- 9 SQL y RDBMS
- 25 Tema Libre
In this Discussion
informacion sensible visible a cualquiera!!
<!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? --> Bueno no se si esto es bug, como dije antes soy novato en este frame el asunto es que me he puesto a estudiar el manual, ya que este frame se ajusta a mis necesidades para crear un proyecto personal, pero veo que tiene muchas cosas para mejorar ... por ejemplo:
¿que sucederia si hacemos print_r de un objecto con relacion a clase db en el view ??
pues nos mostraria toda la informaciona sencible como el password, usuario de la conexion de la base de datos. <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->
tal vez habria que encasular o pasarla en funciones privadas en la class DB.
Por otra parte no me convence el uso ini para tener datos de la configuracion, ya que con simple fisgoneo(usando scaner) puedo leer en el navegador estos archivos... <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->
asi que voy a usar kumbia en un modo experimental y ya he cambiado algunas partes del frame para hacerlo a mi entender mas seguro...
pero ahora me estoy cuestionando, si vale la pena hacer un proyecto con el <!-- s
--><img src="{SMILIES_PATH}/icon_cry.gif" alt="" title="Crying or Very sad" /><!-- s -->
saludos!!
¿que sucederia si hacemos print_r de un objecto con relacion a clase db en el view ??
pues nos mostraria toda la informaciona sencible como el password, usuario de la conexion de la base de datos. <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->
tal vez habria que encasular o pasarla en funciones privadas en la class DB.
Por otra parte no me convence el uso ini para tener datos de la configuracion, ya que con simple fisgoneo(usando scaner) puedo leer en el navegador estos archivos... <!-- s:? --><img src="{SMILIES_PATH}/icon_confused.gif" alt=":?" title="Confused" /><!-- s:? -->
asi que voy a usar kumbia en un modo experimental y ya he cambiado algunas partes del frame para hacerlo a mi entender mas seguro...
pero ahora me estoy cuestionando, si vale la pena hacer un proyecto con el <!-- s
--><img src="{SMILIES_PATH}/icon_cry.gif" alt="" title="Crying or Very sad" /><!-- s -->saludos!!
Comentarios
Hmmm no es nada q no se sepamos, por eso pregunte antes que version utilizas?
Hmmm pues eso no es asi... a menos que hagas mal la instalacion de la aplicacion, ya que el config.ini no debe ser de acceso public, es decir no debe estar en el DocumentRoot de tu servidor web, si lo usas asi imposble que eso pase...
Creo que deberias pasar por el IRC aclarar tus dudas, nose que tipo de pruebas estas haciendo como tomarlas en cuentas, todo lo que expusiste no son de nada clara y correctas, sobre todo lo de los ini.
Pero te invito a pasar por IRC y generar un feedback al respecto para hacer correcciones si son necesarias.
Pero lo que comentas todo ha sido testeado por parte de nosotros como equipo de desarrollo y no hay brechas de seguridad en esa tema.
Éxitos!
de todos modos sigo estudiando kumbia, hasta ahora me esta dando buenos resultados <!-- s
por otra parte he scaneado con acunetix, y da una cola de errores como esto:
y la lista de directorios son unos 24 el que mas me preocupa es kumbia/app/files. y kumbia/app/config.
y tambien da estos errores :
<!-- s:| --><img src="{SMILIES_PATH}/icon_neutral.gif" alt=":|" title="Neutral" /><!-- s:| --> pero sigo pensando que tal vez es por que estoy aprendiendo seguro que algo no estoy haciendo bien, de todos modos voy a realizar mi proyecto en kumbia, ya que es el mas se adapta a mis necesidades, el asunto es que tengo el proyecto terminado hecho totalmente in house, pero el cliente me ha pedido que sea montado en un framew... por que le han dicho que mas seguro <!-- s
bueno espero terminar antes de dos meses ya que me ha llevado 8 meses terminar el anterior trabajo <!-- s
saludos!!!
PD: Disculpen mi ignorancia si he preguntado cosas incuerentes, pero asi aprendo....
No me queda claro a que te refieres con instalar...
Bueno para correr esos test de seguridad tu aplicacion debe "simular" que esta en production, es decir debes activarlo en el config.ini porque esos directorios seguramente los ve ese escaner es porque el framework lanza exceptiones que son visibles estando en modo de desarrollo... La exception de KumbiaPHP es una ayuda para el desarrollo identificar donde esta falla dando "rutas" (path) del S.O. como te dije antes seguramente el escaner en sus "ataque" intenta acceder a URL y KumbiaPHP lanza exception que es alimento para el escaner determinar la seguridad, pero si cambias el modo desarrollo los errores deben cambiar...
Recuerda que toda la seguridad no recae sobre el fw, tambien vale la configuracion a nivel de webserver y como configures la aplicacion en production, el dir esta protegido por el archivo .htaccess que lleva KumbiaPHP...
<!-- m --><a class="postlink" href="http://wiki.kumbiaphp.com/KumbiaPHP_Framework_Versi">http://wiki.kumbiaphp.com/KumbiaPHP_Framework_Versi</a><!-- m -->ón_1.0_Spirit