Opencart Polska

[Peter_w]

Witam,

Zauważyłem, że w OC v1.5.4.1 poprzez adres www.twoja-domena.pl/system/logs/error.txt można przejrzeć plik z błędami. Sprawdziłem to na kilku sklepach. W zależności na źródło błędów dane tam zawarte mogą być wykorzystane do różnych celów o których właściciele sklepów nie chcieliby chyba wiedzieć.

Zabezpieczyć przed tym można poprawiając treść pliku .htaccess w folderze głównym sklepu.
fragment:

:Location "\*.(tpl|ini|log)"
Access deny all
:Location

należy zamienić na

:Location "\*.(tpl|ini|log|txt)"
Access deny all
:Location

Należy tu zaznaczyć, że nie jest to jakaś poważna dziura, ale u jednego z kolegów zauważyłem w logu dane klienta który z jakiegoś powodu nie mógł dokończyć zakupów....

Warto też zmienić lokalizację panelu admina.
W tym celu należy zmienić nazwę folderu admin oraz odpowiednio wprowadzić zmiany w plikach config.php w katalogu głównym sklepu i w folderze z nowo nadaną nazwą zamiast admin.

Pozdrawiam Peter

[staniapl]

Zauważyłem, że w OC v1.5.4.1 poprzez adres www.twoja-domena.pl/system/logs/error.txt można przejrzeć plik z błędami. Sprawdziłem to na kilku sklepach. W zależności na źródło błędów dane tam zawarte mogą być wykorzystane do różnych celów o których właściciele sklepów nie chcieliby chyba wiedzieć.

Zabezpieczyć przed tym można poprawiając treść pliku .htaccess w folderze głównym sklepu.
fragment:

:Location "\*.(tpl|ini|log)"
Access deny all
:Location

należy zamienić na

:Location "\*.(tpl|ini|log|txt)"
Access deny all
:Location

Po co tyle fatygi? W Panelu admina > ustawienia > zapisuj błędy - zaznacz na nie i usuń dotychczasowy plik.

Należy tu zaznaczyć, że nie jest to jakaś poważna dziura, ale u jednego z kolegów zauważyłem w logu dane klienta który z jakiegoś powodu nie mógł dokończyć zakupów....

to nie dziura - tylko głupota webmasterów - jeśli chcesz zapisywać błędy to do jakiegoś innego pliku a nie standardowego error.txt ( po prostu zabrakło ci czasu na konkretną konfigurację sklepu)

W tym celu należy zmienić nazwę folderu admin oraz odpowiednio wprowadzić zmiany w plikach config.php w katalogu głównym sklepu i w folderze z nowo nadaną nazwą zamiast admin.

Z tym się zgodzę ale laikom nie polecam ... na dobry początek wystarczy login inny niż admin i dość "złożone" hasło.


Pozdrawiam

[Peter_w]

Witam,

Postem chciałem zwrócić uwagę na problem. Powinienem go chyba umieścić w dziale "Poprawki i zmiany". Co do wyłączenia rejestracji błędów lub skasowania pliku to nie zgodzę się, że to rozwiązuje problem ponieważ rejestracja błędów jest bardzo ważnym elementem rozwoju systemu zwłaszcza kiedy testujemy moduły itp....
Najprościej więc jest zmienić nazwę pliku z błędem i po problemie.

Gdyby jednak twórca OC dodał 4 znaki "|txt" do pliku htaccess to problemu by nie było globalnie.
A tak można zobaczyć listę błędów na stronach
twórcy OC: http://demo.opencart.com/system/logs/error.txt
praktycznie wszystkie templatki na http://www.templatemonster.com/ np. http://livedemo00.template-help.com/ope ... /error.txt
Wszystkie sklepy jakie przedstawiają tu forumowicze itd.

Tak więc skoro autor OC, autorzy templatek w poczytnym portalu i może większość z nas nie zwraca na to uwagi to nie jest to głupota webmasterów tylko niechlujstwo. Globalna zmiana przez autora OC załatwiłaby wszystkie problemy.

Jedyna korzyść to taka, że jak piszesz moduły do OC to mogą one zostawiać ślady w error logu po czym będziesz mógł dojść do tego czy moduł jest legalny czy nie. Druga korzyść to taka, że jak po jakiejś modyfikacji system się zwiesi to jest jak podejrzeć error log bez wchodzenia na ftp.

Peter

[staniapl]

Co do wyłączenia rejestracji błędów lub skasowania pliku to nie zgodzę się, że to rozwiązuje problem ponieważ rejestracja błędów jest bardzo ważnym elementem rozwoju systemu zwłaszcza kiedy testujemy moduły itp....

Niekoniecznie - jeżeli korzystasz z Vqmod to masz ErroLog widoczny tylko dla Ciebie (czyt. zalogowanego admina), jeśli już potrzebujesz info co Twój moduł wyprawia.

Gdyby jednak twórca OC dodał 4 znaki "|txt" do pliku htaccess to problemu by nie było globalnie.

Gdyby dodał taki zapis do .htaccess to i tak byś musiał ten plik ściągnąć z ftp bo przez przeglądarkę byś go nie ujrzał.

Kod: Zaznacz cały

jak piszesz moduły do OC to mogą one zostawiać ślady w error logu po czym będziesz mógł dojść do tego czy moduł jest legalny czy nie

Możesz napisać jakie info o legalności mogą zostawiać moduły w logach? Być może nie jestem świadomy.

Druga korzyść to taka, że jak po jakiejś modyfikacji system się zwiesi to jest jak podejrzeć error log bez wchodzenia na ftp.

Jak dodasz wykluczenie txt do htaccess to jakim sposobem odwiedzisz plik bez wchodzenia na ftp ??



Zawsze jeśli chcesz mieć error-loga dostępnego z przeglądarki, możesz go generować pod swoją nazwą na którą nikt nie wpadnie np:
abc123-log-error-sklep.txt <- uwierz, że nikt do niego nie dotrze



Na koniec musisz zdać sobie sprawę, żę OC jest skryptem Open Source, i wymaga jednak trochę pracy w dostosowaniu go do własnych potrzeb.

PS. Od razu dla fali hejterów dodam, że post pociągnełem dla konkretnej dyskusji a nie jak ktoś kiedyś napisał, że się 'wymądrzam'

[Peter_w]

Może i się nie wymądrzasz ale nie wnosisz nic nowego do tematu. Szkoda czasu. Był problem - nie ma problemu. Tak powinna działać lista dyskusyjna.Kto nie zrozumie o czym tu napisane nadal będzie miał widoczny errorlog i tyle. W każdym razie z jakiegoś powodu pliki tpl|ini|log są zabezpieczone prawidłowo i nie widzę powodu dla którego z txt miałoby być inaczej.

[staniapl]

Ok,
tu jest adres z moim szablonem (testowo zainstalowany OpenCart), zapisywanie błędów jest włączone.

http://gss.forwebonly.website.pl

Żadne wykluczenia txt nie dodane, jeżeli mój plik error jest dla Ciebie widoczny to spróbuj go odpalić.

[Peter_w]

Chciałbym rozwinąć wątek i dodać kilka uwag na temat tego jak ważny jest plik .htaccess dla bezpieczeństwa OpenCart'a. Najprawdopodobniej najczęściej popełnianym błędem przez początkujących użytkowników OC jest pominiecie pliku .htaccess, albo z powodu problemów z instalacją OC albo np. z powodu niestosowania trybu serwera mod_rewrite czyli w OC tzw. linków SEO (a może jeszcze z jakiegoś innego).

Uwaga ! Plik .htaccess ze względów bezpieczeństwa musi być zawsze umieszczony w katalogu głównym na który wskazuje domena ! Dla bezpieczeństwa najważniejszy jest fragment:

:Location "\*.(tpl|ini|log)"
Access deny all
:Location

w pierwszej linii należy dodać
:Location "\*.(tpl|ini|log|txt)"

Brak pliku .htaccess lub niewłaściwa zawartość może ułatwić odczytanie niepowołanym osobom zawartości wielu plików w waszym systemie. Początkujący użytkownicy OC nie zawsze mają przygotowanie informatyczne pozwalające ocenić prawidłowo zagrożenie. Często nie zdają sobie sprawy z błędów jakie popełniają.

Aktualnie na liście dyskusyjnej pojawił się post kolegi szukającego pomocy dla naprawdę profesjonalnie wykonanego sklepu co mogłoby wskazywać na to, że wszystkie opcję mające wpływ na bezpieczeństwo powinny być włączone. Niestety nie zmieniono też nazwy pliku z błędami przez co każdy może z zewnątrz odczytać errorlog. W treści tego dokumentu znajdują się adresy plików .tpl które każdy może sobie pobrać.

Oznacza do, że nie zainstalowano pliku .htaccess !!!!! Można zatem odczytać również zawartość pliku php.ini i wielu innych których nazwy i lokalizacje są znane.

Swoją drogą zastanawiam się dlaczego autor CO zadbał o pliki .log a nie zrobił tego dla plików .txt.

Podsumowując dotychczasowe posty w tej sprawie chciałbym namówić wszystkich użytkowników OC którzy ze swoimi sklepami wyszli już poza etap "zabawy" do mini audytu swoich e-shop, sprawdzenia obecności i zawartości pliku .htaccess, zmiany nazwy folderu admin (wraz z odpowiednimi zmianami w plikach config.php) i zmianę loginu admin na inny. To podstawowe zagadnienia związane z bezpieczeństwem waszych OC.

Dla bardziej dociekliwych polecam książkę "Testowanie bezpieczeństwa aplikacji internetowych" Paco Hope i Ben Walther lub każdą inną w tym temacie.

Staniapl. Odpowiedz sobie sam na pytanie:
Czy lepiej uniewożliwić całkowicie odczytanie zawartości pliku errorlog.txt czy tak jak proponujesz bardzo ale to bardzo to utrudnić ?