Je zobrazování chyb PHP nebezpečné?

[fotka]

Ahoj, wordpress plugin pro kontrolu bezpečnosti ukazuje jako červené že mám zapnuté v PHP "display_errors = On"

tak se chci zeptat v čem tkví to nebezpečí zapnutí zobraování chyb PHP? to jako že to zaindexuje tu chybu google a pak nějaký škůdce to najde a může chybu zneužít? jen nechápu jak jde zneužít nějaké chybné zadání php kódu, jeslti to je možné?

[Reklama]

[Sten]

Tak třeba SQL injection se daleko lépe provádí, když vám server říká, co konkrétně váš pokus dělá, a mnoho z těch chyb jsou informace, že nějakou funkci používáte špatně, takže ji lze zneužít (prostě to radí útočníkovi, co má dělat)

[Filip Jirsák]

Prozrazuje to útočníkovi věci, které by věděl nemusel - třeba název databáze, názvy tabulek, jména funkcí a proměnných, použité knihovny atd. Nic z toho nejde zneužít, pokud v aplikaci (nebo použitých knihovnách apod.) nemáte chybu (např. SQL injection). Ale pokud už v aplikaci takovou chybu mít budete, můžete útočníkovi dost usnadnit práci. Resp. může to znamenat rozdíl mezi cíleným útokem a útokem na první dobrou. Pokud budete mít někde chybu SQL injection a útočník nebude znát jméno tabulky, musí ho buď uhodnout, nebo najít nějakou část aplikace, kde mu přes to SQL injection umožníte názvy tabulek vypsat. Pokud někomu jméno tabulky ukážete v chybovém výpisu, bude chtít vyzkoušet SQL injection a bude sám překvapen, že vám hned prvním pokusem tu tabulku smazal.

Takže není to tak, že byste vypnutím zobrazování chyb vyloženě zabránil nějakému útoku, k tomu je potřeba opravit chyby v aplikaci. Ale je to zbytečné a zbytečně tím útočníkovi napomáháte.

Mně by o něco víc vadilo to, že to vypadá velmi neprofesionálně a uživateli zobrazujete něco, co ho rozhodně nezajímá.

[alfi]

Prozrazuje to útočníkovi věci, které by věděl nemusel -
 ...
Takže není to tak, že byste vypnutím zobrazování chyb vyloženě zabránil nějakému útoku, k tomu je potřeba opravit chyby v aplikaci. Ale je to zbytečné a zbytečně tím útočníkovi napomáháte.

Mně by o něco víc vadilo to, že to vypadá velmi neprofesionálně a uživateli zobrazujete něco, co ho rozhodně nezajímá.

souhlas. taky to ještě ukazuje cesty na filesystému, tedy další návod, kam dál se dá útočit, kolik ../.. je potřeba do /etc/passwd apod.

[rooobertek]

display_errors na produkčnom serveri nemá čo robiť. Okrem toho, že to prezrádza priveľa informácií, je to aj nevkusné a dokáže to pokaziť dizajn. Vrcholom je keď google zaindexuje chybovú hlášku. To už je čistá pozvánka pre wannabe hackerov.

[Reklama]

[to_je_jedno]

Jako sorry, ale presne jsem si vzpomnel z minulyho tematu a prislo mi to zbytecne drsne, ale dnes se s tim ztotoznuji: fotko, fakt myslis, ze jsi vhodny clovek pro spravu webovyho serveru?

[42]

Ahoj,
je to nebezpečné.

Už i to, že by někdo viděl třeba kde se chyba nachází (cesta skriptu na serveru s chybou) je samo o sobě dost na prd.
V několika případech by vypsání chyby např. s nainstalovaným a zapnutým xdebugem by to vyhodilo i trace jak se instance prokousala k chybovému řádku (cesta přes skripty, třídy a metody až samotný řádek http://www.classyllama.com/sites/default/files/images/XdebugException-718x330.png).
Někdy (třeba Nette framework) ti k chybě vypíše i kus špatného kódu a to asi nechceš, aby někdo viděl.

[Jan Forman]

Já bych obecně řekl, že výstup chyb jen tak ven, je volba srážící PHP k amatérské rovině.
Opět není to chyba jazyka, ale implementace,provozování a nastavení.
To se hodí jen na developerskej server, nikdy ne do produkčního prostředí, kde lze logovat do souboru.

Ovšem abych nebyl zlej, třeba jisté velké české firmy tímto způsobem odkrývali svojí vnitřní strukturu a to tam byla nasazené
"enterprise" technologie (java a oracle db). Člověk si tam klidně stopoval jednotlivé stroje v clusteru jako by nic.
Takže amatéři se najdou všude...

[#]

Ojojoj opet dotaz perla ... chlape, si uz delas kozy, ne?

Pokud to myslis opravdu vazne ty temata co zakladas, pak potes koste.