|
Programiranje Java, Perl, VB, ASP, .NET, C, C++, Pascal, Delphi Sponzor: |
|
Alati teme | Način prikaza |
|
01. 08. 2006. | #1 | |
Goran Pilipović
Sir Write-a-Lot
|
Gde podvući crtu sa prikazivanjem grešaka
Sada sam hteo da pogledam DZ i pojavila se greška
Citat:
Video sam takve stvari na jos milion mesta, dali uopste treba prikazivati ovako detaljnu informaciju korisniku. Ja sam od pre godinu dana poceo sa sistemom gde se korisniku prikaze samo generic greska tipa "sorry, imamo problem sa bazom" a u log i na mail stize detaljna informacija. Juce sam imao jedan mali problem, jedan moj smarty plugin mi je izbacivao gresku za jednu sliku, doduse moje (javne) greske su sada sve tipa "sorry, internal error", a onda sam pogledao log i vidim da getimagesize() pravi problem. Posle analize drugih, vidim da je problem samo sa tom slikom i ni jednom drugom, na kraju je uzrok to sto je ko zna ko i kako sliku smanjivao "na silu" (neporporcionalno, slika je izgledala kao kada gledate 16:9 na 4:3 ekranu) pa se ocigledno nesto poremetilo sto je zbunjivalo getimagesize().
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
|
01. 08. 2006. | #2 |
VD IT Direktora
Invented the damn thing
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
|
Sakrivati definitivno sve. Eventualno, ako je došlo do neke greške koja može pomoći korisniku (npr. korisnik tražio neku stranicu koja ne postoji, a sistem ima mogućnost da "pretpostavi" šta je korisnik ustvari tražio), prikazati neku dodatnu informaciju, ali opet strogo kontrolisanu.
|
01. 08. 2006. | #3 |
Psychedelictrance freak
Wrote a book
|
Da, trebalo bi skrivati sve i upucivati na self-made error stranice. Ovako se izbegava otkrivanje informacija koje kasnije mogu da se iskoriste na raznorazne nacine.
U nekim primerima je najbolja fora sto error poruke stampaju i neke ulazne parametre pa je samim tim moguce izvrsiti i XSS napad. A bas malopre sam auditao jednu aplikaciju i ladno mi je posle nekog zezanja oko retrivepassword stigao na e-mail error koji ustvari trebao da bude na stranici u kojem se izmedju ostalog nalazi i par pathova koje ne bi trebao da znam.
__________________
Testiranje bezbednosti web aplikacija |
01. 08. 2006. | #4 |
Igor Marinović
Expert
|
I ja sam za sakrivanje svega, koliko je to moguce. I mene je iznenadila ta poruka na zoni, i previse je deskriptivna. Mogu da zamislim koliko sada wannabe hackera razmislja kako to da iskoristi
|
01. 08. 2006. | #5 | ||
Direktor Kombinata
Invented the damn thing
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
|
Citat:
U DEBUG modu skripta prikazuje mnogo više podataka, ali u "produkcionom" okruženju bi trebalo da prikaže samo kratno "Whoops!" i dosta Citat:
__________________
activeCollab - Project Management and Collaboration Tool iz domaće kuhinje | area51.rs - Blog Poslednja izmena od Ilija Studen : 01. 08. 2006. u 16:27. |
||
01. 08. 2006. | #6 |
Boris
Grand Master
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
|
Ne dolazi bezveze php.ini koji je namenjen za produkcione masine sa display_errors=off
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams |
01. 08. 2006. | #7 |
Ivan Dilber
Sir Write-a-Lot
|
ja koristim custom error handler, i DEBUG konstantu (ne varijablu da ne bi mogao napadac da je setuje ako je ukljuceno register_globals). Ako je DEBUG 0 onda sve sakrije (i naravno loguje u error_log) to je kao production level... a ako nesto crkne ukljucim DEBUG 1,2, ili 3 zavisno koliko detalja mi treba... 1 prikazuje samo greske, 2 radi kao E_ALL, a 3 prikaze sve i jos uradi debug_backtrace i var_dump svega...
moram malo da sredim taj kod, pa cu da ga obesim negde, ako nekog bude zanimalo..
__________________
Leadership is the art of getting people to want to do what you know must be done. |
01. 08. 2006. | #8 | |
Psychedelictrance freak
Wrote a book
|
Citat:
__________________
Testiranje bezbednosti web aplikacija |
|
02. 08. 2006. | #9 |
Goran Pilipović
Sir Write-a-Lot
|
Imam i ja nesto slicno, ako je iskljucen debug (na local masini) onda ispisuje sve i to vrlo detaljno, a ako je ukljucen onda samo to isto sacuva u log a ispise "sorry" Debug je naravno konstanta i ne moze se nikako ukljuciti naknadno niti kroz request (informacija za Ivana )
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
10 Web dizajn grešaka za 2005.-u | Goran Aničić | Web design, Layout, User Interface | 34 | 31. 05. 2006. 17:41 |
Problem sa prikazivanjem menija u IE-u | Eli0t | (X)HTML, JavaScript, DHTML, XML, CSS | 2 | 24. 05. 2006. 19:09 |