大发龙虎大战关于 个别用户对于第三方插件安全性的回应

2019-4-26 10:41 [复制链接] 12 2691

个别用户可能对于大发龙虎大战大发龙虎大战我 们 当前大发龙虎大战软件 商店里面的第三方插件安全性会有疑问,这帖子比较细致的回应下疑问点。

一:
疑问:大发龙虎大战会负责任的对每个插件进行代码审计吗?
解答:如果插件安全性出问题虽然开发者是第三方,但用户逻辑肯定认为大发龙虎大战会负有很大的连带责任,这种锅大发龙虎大战大发龙虎大战我 们 是甩不掉的,所以大发龙虎大战大发龙虎大战我 们 大发龙虎大战肯定必须是要全力以赴的去审计代码的。

二:
疑问:为什么不将插件虚拟机隔离运行或用其他方式在底层来保障安全
解答:就算隔离运行也需要给插件足够的权限,否则插件开发变得没有意义,此时不但没有增强安全性反而大大增加了大发龙虎大战服务 器开销,所以只有代码审计是当前可行的大发龙虎大战方法

三:
疑问:插件的发布流程大致是怎么样的?
解答:1.核实第三方开发者身份 2.开发者将开发好的代码托管到大发龙虎大战大发龙虎大战我 们 大发龙虎大战云端 3.每发布一个版本都由人工重新做代码审计

四:
疑问:对于第三方插件的代码审计有哪些要点
解答:包括但不仅限于以下几个方面
1、是否有收集用户资料
2、是否连接第三方网站
3、是否有执行外部代码的风险
4、对于允许公共访问的插件,需做渗透测试
5、是否有连接或遍历用户文件等敏感行为
6、XSS透测试
7、安装代码安全性测试

五:
疑问:插件多了会不会导致审核变宽松
解答:对于第三方插件的安全,大发龙虎大战大发龙虎大战我 们 大发龙虎大战是有连带责任的,所以大发龙虎大战大发龙虎大战我 们 在这方面一定是宁缺毋滥的,只上自己能审计得来的,审计不了的宁愿不上。

如果还有其他什么疑问,可以继续提出来,大发龙虎大战大发龙虎大战我 们 尽大发龙虎大战大发龙虎大战我 们 所能去解答,如果问题属实则肯定第一时间调整。


使用道具 举报 只看该作者 回复
大发龙虎大战推荐
发表于 2019-4-28 10:48:45 | 只看该作者
大发龙虎大战用户_cpzxxp 发表于 2019-4-27 19:27
大发龙虎大战关于 Nginx配置的疑问。

本人安装完包括nginx,都是平台安装,没有做任何其他操作,在nginx中默认有一个配 ...

您好,感谢认真反馈,
1、在大发龙虎大战中phpmyadmin是统一使用888端口访问,且访问路径是安装phpmyadmin时随机生成的,即无法通过域名直接访问到phpmyadmin的,大发龙虎大战关于 这个,您可以测试一下。
2、之所以在这里绑定ia8888.com,只是因为此处未使用80端口,故绑定任何域名都意义不大,但大发龙虎大战大发龙虎大战我 们 为了从日志中方便识别,所以给默认绑定了一个域名
3、建议您添加hosts记录 ia8888.com到大发龙虎大战服务 器IP测试下,检验大发龙虎大战我 上面说的这些解释,谢谢!
使用道具 举报 回复 支持 1 反对 0
板凳
发表于 2019-4-26 14:38:57 | 只看该作者
本帖最后由 痞子哥 于 2019-7-10 13:30 编辑

不相信大发龙虎大战还用大发龙虎大战的,真的有点自己找纠结。。

大道消息:腾讯云大发龙虎大战服务 器1折起秒杀 每天4场 有需要的塔友可以看看
使用道具 举报 回复 支持 反对
地板
发表于 2019-4-26 15:32:35 | 只看该作者
有些人不相信自己,还瞎怀疑别人,出来混竟然还不带脑子
使用道具 举报 回复 支持 反对
5#
发表于 2019-4-26 17:20:01 | 只看该作者
信不信这是别人的想法 大发龙虎大战大发龙虎大战我 们 控制不了,不过别人有疑问,那么大发龙虎大战大发龙虎大战我 们 也会给出大发龙虎大战大发龙虎大战我 们 的做事大发龙虎大战方法 出来让别人清晰大发龙虎大战大发龙虎大战我 们 的流程,大发龙虎大战大发龙虎大战我 们 作为大发龙虎大战服务 器大发龙虎大战软件 开发商,安全就是生命线,这类问题都是属于优先级最高的事项,不会马虎。
使用道具 举报 回复 支持 反对
6#
发表于 2019-4-27 00:06:25 | 只看该作者
可以,宁缺勿滥,点赞,开发的审核的辛苦了!
使用道具 举报 回复 支持 反对
7#
发表于 2019-4-27 11:24:14 | 只看该作者
点赞
使用道具 举报 回复
8#
发表于 2019-4-27 11:30:52 | 只看该作者
对了,说到插件,最近发现一个插件的问题。之前大发龙虎大战我 部署了七牛的自动备份,昨天大发龙虎大战公司 数据库出了问题,然后,发现26号的数据库并未备份,加入计划任务后,手动点执行,七牛那边并未收到新的备份,查看计划任务日志,发现报错了。然后,查看大发龙虎大战软件 商店,发现七牛备份插件有更新,手动更新后,再次执行,就没问题了。。。。那么问题来了,,,如果大发龙虎大战我 长时间不看大发龙虎大战,不看七牛,某一天插件出了新版本,大发龙虎大战我 没有手动更新的话,是否意味着,备份就会停留到插件发布更新时。。。如果在大发龙虎大战我 数据库出问题时,再去更新,已经来不及了。。。昨天就导致了大发龙虎大战公司 少了两天的数据,因为,只备份到了25号凌晨5点,,25号白天一天,26号一整天的数据都没了。。被领导臭骂了一顿。。。   原计划任务是每天凌晨5点左右自动备份,26号凌晨没备份,应该是插件发布了更新。。。。

大发龙虎大战你 这个插件是大发龙虎大战官方帮忙开发的插件,非第三方开发插件,同时无论什么插件或者面板,有更新不更新不会影响现有的。至于出问题需要看日志  发表于 2019-4-27 17:05
使用道具 举报 回复 支持 反对
9#
发表于 2019-4-27 19:27:31 | 只看该作者
大发龙虎大战关于 Nginx配置的疑问。

本人安装完包括nginx,都是平台安装,没有做任何其他操作,在nginx中默认有一个配置,这个配置,
只要大发龙虎大战面板更改一下域名解析,就可以访问任何有大发龙虎大战面板大发龙虎大战服务 器的phpmyadmin目录,非常危险,请官方解释,配置这条的目的。

server
    {
        listen 888;
        server_name ia8888.com;
        index index.html index.htm index.php;
        root  /www/server/phpmyadmin;

        #error_page   404   /404.html;
        include enable-php.conf;

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /\.
        {
            deny all;
        }

        access_log  /www/wwwlogs/access.log;
    }





使用道具 举报 回复 支持 反对
10#
发表于 2019-4-28 10:56:53 | 只看该作者
良哥 发表于 2019-4-28 10:48
您好,感谢认真反馈,
1、在大发龙虎大战中phpmyadmin是统一使用888端口访问,且访问路径是安装phpmyadmin时随机生 ...

这条记录若没什么用,在初始化的时候还是不要写吧,避免误会。支持大发龙虎大战!

记录的作用是为了检查phpmyadmin是否被暴破,为避免误会已将默认域名修改为 phpmyadmin  发表于 2019-4-28 11:05
使用道具 举报 回复 支持 反对
11#
发表于 2019-8-12 14:36:06 | 只看该作者
感觉应该对标题和内容对顶审核严格一点,毕竟插件目前不能试用,防止标题党。
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表