Ir para conteúdo

Featured Replies

Postado

Proprio cpanel já tem esta informação:

Citar

mod_userdir do Apache permite que os usuários visualizem seus sites inserindo um til (~) e o nome de usuário como URI em um host específico. Por exemplo: http://test.cpanel.net/~fred/ exibirá o domínio do usuário fred. A desvantagem desse recurso é que qualquer uso de largura de banda feito pelo site recairá sobre o domínio pelo qual é acessado (neste caso, test.cpanel.net). A proteção de mod_userdir impede que isso aconteça. Porém, convém desabilitá-lo em hosts virtuais específicos (geralmente hosts ssl compartilhados).

17 horas atrás, brunofernandes disse:

Olá, sou novo forum e gostaria muito que pudessem me ajudar, estou tentando habilitar urls temporárias para meus clientes porém meu whm não possui a opção Security Center, como proceder nesse caso?

Para ativar isto, vá para esta opção:

KnsE9Po.png

 

Provavelmente para ti está ativada. Desabilite e salve.

Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.


Postado

Justamente, isso acaba se tornando uma função que abre portas para dar algum problema. O cliente recebe um fluxo de conexões através desta URL, e ai? Se não houver firewall e não tiver uma boa configuração no servidor, com certeza, chegará um ponto que algum problema surgirá.

Tendo em vista a pergunta do amigo, imagino que ele seja novo com o mercado, então, é melhor ele prevenir do que remediar. No final das contas, vai de cada um, se habilita ou não. Por mim, a recomendação é que não habilite.


Postado
21 horas atrás, Jamis Henrique disse:

Justamente, isso acaba se tornando uma função que abre portas para dar algum problema. O cliente recebe um fluxo de conexões através desta URL, e ai? Se não houver firewall e não tiver uma boa configuração no servidor, com certeza, chegará um ponto que algum problema surgirá.

Tendo em vista a pergunta do amigo, imagino que ele seja novo com o mercado, então, é melhor ele prevenir do que remediar. No final das contas, vai de cada um, se habilita ou não. Por mim, a recomendação é que não habilite.

Jamis, não faz sentido sua colocação. Por que justamente por isto? O fluxo de conexões é o mesmo que por domínio, então, ele não poderia usar o dominio que estaria passível a ataques. Esta opção não abre nenhuma porta, nenhuma brecha. Firewall é padrão, todo servidor tem que ter, então descartemos esta opção, por que mesmo com firewall, ter um site já hospedado está passivo a ter ataques.

Ajude o fórum! Antes de postar, leiam as regras de postagem aqui.


Postado

Complementando as argumentações dos colegas.

O módulo UserDir consegue ter acesso aos diretórios usando a sintaxe /~username/. Até aqui, nada novo. Se procurarmos, encontraremos considerações diferentes do mesmo módulo para versões distintas do Http Apache (sendo 1.x a pior).

Cabe mencionar um exemplo bem antigo:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2001-1013

 

Com o Nmap eu posso programar um ataque de dicionário baseado numa lista válida de usuários (tempo não falta nestas horas), exaurindo todas possibilidades genéricas.
Eu poderia conseguir a listagem, também, através de alguma aplicação vulnerável (algum CMS, plugin, componente) ou ainda, através de alguma falha presente nas versões do PHP presentes nos compiladores cPanel, uma vez que o empacotamento neste compilador não é ainda instantâneo.

Soma-se isso ao fato concreto da não contabilização de tráfego (ilimitada oferta de banda pelo provedor não reflete na ilimitada contagem pelo data center) e teremos não a afirmativa que o tal recurso é nocivo por si só, mas sim, que é recomendável não adotá-lo sem que algumas tantas ressalvas sejam consideradas / aplicadas. Ressalvas podem representar riscos, riscos podem representar prejuízos e com estes algumas consequências.

Isso é só um detalhe explicado por quem sabe nada de exploração do http server da Apache, portanto, se a intenção é oferecer um URL alternativo, pensem no tantos recursos disponíveis no próprio http server (questão esta que poderia ser explicada pelos colegas mais experientes).

 

 

 


Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

Quem Está Navegando 0

  • Nenhum usuário registrado visualizando esta página.

Informação Importante

Concorda com os nossos termos?