O Webmin é seguro? Eu posso ver códigos de arquivos no navegador Chrome sem login [closed]

Navegue suas respostas
1

Quando estou no Gerenciador de arquivos do Webmin, posso clicar duas vezes e ver os códigos dos arquivos em uma nova guia no Firefox com sua URL específica.

Mas quando eu removi ?rand=xxxx... após o file.php e colei o URL no navegador Chrome, ainda consigo ver os códigos.

Este é o URL que acabei de colar no navegador Google Chrome

http://xxx.xxx.xxx.xxx:10000/file/show.cgi/var/www/html/mysite.com/files/file.php

E depois faço o logout do webmin e altero o file.php com outro arquivo, consigo ver os códigos.

O Webmin é seguro? Como posso garantir isso?

    
por Pierre.Vriens 02.04.2010 / 13:38

5 respostas

5

O? rand = é um disjuntor de cache. É uma string aleatória anexada à url para garantir que a página recebida não seja armazenada em cache. Suas informações de sessão / login são mantidas no navegador por meio de cookies e não são afetadas pelo valor de? Rand =.

Quando você removeu a parte "rand=", apenas removeu o recurso de quebra de cache de suas solicitações, embora a maioria dos navegadores não armazene em cache isso. Eu acredito que o IE 6 fora da caixa usado para armazenar em cache as respostas um pouco agressivamente demais, e é por isso que eles introduziram essa correção.

    
por 02.04.2010 / 16:34
1

Seu webmin está bem. Tenho certeza de que tudo está relacionado às informações da sessão armazenadas no banco de dados que o webmin usa.

Seu servidor é tão seguro quanto você o faz. Embora o webmin tire muito da sua carga para proteger seu sistema, ainda é prudente "fazer o caminho mais longo" e verificar seus logs de tempos em tempos.

A palavra-chave aqui para o webmin é "web", o que significa que as informações são armazenadas no seu navegador como cookies, mas também no seu servidor como dados da sessão. Além disso, se você usar SSL para o webmin (que você deve, imho), todos os seus dados serão criptografados em quantos bits seus certificados SSL estiverem criptografados.

    
por 02.04.2010 / 14:15
0

Webmin é uma ferramenta para você usar para administrar seu servidor. Você só deve permitir que ele seja acessado pelos administradores do servidor. Pense nisso como o acesso FTP / SSH - ele permite que as pessoas acessem seu servidor e façam alterações nos arquivos contidos nele.

O gerenciador de arquivos no Webmin forneceu a mesma funcionalidade que o acesso FTP. Assim como você vê o código PHP de seus arquivos usando FTP, você os verá com o Webmin. Isso faz sentido?

    
por 02.04.2010 / 15:32
0

Se você estiver usando o webmin gpl, você pode olhar para a fonte e ver se ela é segura para você (assim como pedir opiniões de outros usuários). Se for webmin pro, você pode ligar para o suporte e verificar se você não encontrou um bug.

    
por 02.04.2010 / 17:42
0

Uma forma de remover sua sessão armazenada da equação aqui é tentar navegar diretamente para essa URL a partir de um computador que não tenha feito login no Webmin antes. Se você ainda puder acessar o arquivo, poderá ter um problema.

    
por 02.04.2010 / 18:38

Tags

Solução de hardware para conectar-se a vários ISPs para uma WAN Como redirecionar para uma determinada página, dependendo da localidade do usuário?