Tarih: 2009-03-06, 21:35:25 Mesaj konusu: Flash Chat Güvenlik Önlemleri
Birçok kişinin sitesinde flash chat görüyorum yanlız bana göre güvenlik açığı olan birçok eksik bulunuyor sitelerinizde.Bu açıklardan bahsedeceğim sizlere şimdi ve onları nasıl kapatacağınızı.
spy Giriş
Spy Giriş flash chatte gizli giriş bölümüdür.Bana göre bu giriş tehlike demektir.spy giriş sohbete girişe tıkladıkdan sonra flash chatte ilk pencere açılır kullanıcı adı ve şifre sorar bu bölümde kullanıcı adı yerine spy şifre yerine spypass yazıldığında direk sohbete girer.Sohbette yazılan yazıları görür herhangi bir müdahalede bulunamaz ama genele yazılan yazıları okur.Siz onu göremessiniz ama o sizi görür.
Spy girişi kapatmanın yolu spypass olan şifresini değiştirmek.Bunu değiştirmek için ise:
chat/inc/config.php dosyasının içinde spypass diye arama yapın bulduğunuz yere istediğiniz bir şifre koyabilirsiniz spypass yazısını silin dilediğiniz bir şifreyi yazın.Bu şifreyi bilmeyenler bu girişi kullanamaz.
Ekle seceneği
Ekle seceneği bir kullanıcının yeni bir oda açmasına yarar.Düzgün kullanıldığında güzel bir sistem.Yanlız sistemimizin bir eksiği var.Ekle seceneğine tıkladığımızda yeni bir oda açmak için küçük bir pencere açılır buraya oda ismini yazalım örneğin Deneme olsun hemen alt tarafında bulunan özel seceneğini sectiğimizde odamız gizli olur sadece biz görürüz.Yani odayı açıp odaya griş yaptığımızda bizi kimse göremez yöneticilerde dahil kimse göremez.Bu durumda bütün kullanıcıların özeline gidip küfür edinilebilir.Buda bana göre bir güvenlik açığıdır.Şuan ismini vermek istemiyorum binlerce üyesi olan bir sitede flash chat bu açığı yüzünden kaldırıldı ve sitedeki üyeler siteyi bıraktı.
Ekle seceneği nasıl kaldırılır:
chat/inc/layouts/user.php dosyasında kullanıcıların sohbet içinde görmelerini istediğimiz ayarları yapabiliriz.Ekle seceneğini kaldırmak için user.php dosyasını açalım 'allowCreateRoom' yazısını bulalım bunun hemen karşısında true yazar bunu false yapalım kullanıcılara ekle seceneği gözükmez.Eğer sitedeki moderatörlere felanda göstermek istemiyosak layouts dosyamızın içindeki admin.php ve moderator.php dosyalarındada aynı işlemi uygulayalım.
Davet seceneği
Davet seceneği bir kullanıcıyı başka bir odaya davet etmeye yarar.Düzgün kullanıldığında gene güzel bir sistem ama bu sistemimizinde bir sorunu var.Bir kullanıcı üstüne tıklayalım davet et diyelim o kullanıcıyı davet etmek için küçük bir pencere açılır bu pencereye eğer çok uzun bir yazı yazıp gönder dersek gönderdiğiniz kullanıcının ekranı donar ve sohbetten çıkmak zorunda kalır bu yöntemle çoğu sohbetlerdeki üyeler boşaltıldı hatta o uzun yazılan yazı yerine küfür veya ponografig bir yazı yazdığımızda gerçekten o kullanıcı bir daha o sohbete girmez.Bu yüzden buda gerçekten büyük bir açık.
Davet seceneği nasıl kapatılır:
chat/inc/layouts/user.php dosyamızın içinde 'allowInvite' yazar onun karşısında true yazar bunu false yaptığımızda üyeler davet et seceneğini göremez aynı şekilde moderatörler içinde aynı dosyamızda admin ve moderatör.php dosyalarını editlememiz yeterli.
Red Et seceneği
Bu seceneğimizde davet seceneği ile aynı işlemi görür red etmek için kullanıcı secip yazı yazma yerine uzun bir yazı yazdığımızda veya sürekli red et reddi kaldır dediğimizde peş peşe karşı tarafın ekranı donar.
Red et seceneğini kaldırmak için ise :
chat/inc/layouts/user.php dosyamızın içinde 'allowIgnore' nin karşısındaki true yazısını false yapıyoruz.
Resim Gönder
Sohbetteki Ayarlar-Efektler kısmında bir kullanıcı kendine sohbetteki özel mesajların yanında gözükmesi için avatar yükleyebilir kendi bilgisayarından buda bir risk çünkü bu yüzden bir kere saldırı yedim.Resim boyutu eğer fazla olursa ve sürekli bir kullanıcı resim yüklerse serverimiz aşırı yüklenme sonucu hastalanabilir
Bunu kapatmanın yolu ise : chat/load_photo.php dosyasımızı editleyebiliriz. ben bu dosyanın içindeki tüm yazıları sildim resim yükleme özelliği yönetim tarafından kapatılmıştır yazdım :)
www.siteadı.com/chat/admin/index.php
arkadaşlar bu yol sohbetimizin admin panelidir yani sohbetteki özel mesajları okumaya veya bir kullanıcının banını açmaya yarar ama buda sıkıntı bir adrestir.Nedeni ise sitede görev verdiğimiz bir kullanıcıda bu adresi biliyorsa buraya girebilir ve sohbette yazılan bütün mesajları okuyabilir buda sohbet açısından pek sağlıklı değil :)
Bunu kapatmanın yolunu ise şöyle buldum www.siteadı.com/chat/deneme/index.php yaptım yani admin ismini değiştirdim bu sayede o yeni koymuş olduğum ismi bilmeyen buraya giremiyor
chmod ayaları
flash chat kurulumunda çoğu dosyanın chmod ayarının 777 olmasını istiyor ama buda bir risk çünkü bütün dosyalara tam izin veriliyor.Forumda araştırdım mavimsn ve bazı kişiler 777 yapılan dosyalarının 755 yapılmasını söylüyor bunuda denedim ama anlamadığım bir nedenden ötürü ilerleyen günlerde bu sorun çıkardı yani banlanan kullanıcı tekrar sohbete girebildi vs. vs. bu bende pek sağlıklı olmadı ama genede sizin bu yöntemi uygulamanızı tavsiye ederim.
Bu anlatmaya çalıştığım önlemleri alırsanız en azından lamerler sitenize bir zarar veremez.
Forumda bu anlattıklarımı bulamadım o yüzden anlatma gereği duydum.Bu anlattıklarımı uygulayın forumda mavimsn nin yazmış olduğu bazı bilgilerde var onlarıda uygulayın en azından içiniz bir nebzede olsa rahtlar
En son Sonsuzluk tarafından 2009-10-01, 17:21:17 tarihinde değiştirildi, toplam 1 kere değiştirildi
Kayıt: Nov 14, 2008 Mesajlar: 374 Konum: Afyonkarahisar
Tarih: 2009-03-11, 14:14:15 Mesaj konusu:
Eywallah kardeşim dediklerini aynen uyguladım sağolasın ...birde sohbet ilk açılırken çıkan loading complete falan yazıyo ya onları türkçeye nerden çevirebiliriz?
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız
Arama
Rütbeliler
Profil
Giriş
