Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Niente PHP in ZeroShell

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
xavier



Registrato: 23/02/14 22:19
Messaggi: 102

MessaggioInviato: Ven Lug 03, 2015 9:53 pm    Oggetto: Niente PHP in ZeroShell Rispondi citando

E' una cosa tristissima ! Volevo farmi un sito web da far girare sulla stessa macchina di ZS e dopo ore di tentativi... scopro che c'è Apache ma niente php (e così si spiega perché ZeroTruth è basato su bash).

E non è che ci sia un metodo complicato per installare php... non c'è e basta.

Qualche anima pia mi spiega perché non si può ?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Lug 22, 2015 10:48 am    Oggetto: Rispondi citando

Perché più roba ci metti, più il sistema diventa vulnerabile.
PHP si "tira dietro" una caterva di dipendenze...
Il bello di ZS è proprio che rimane abbastanza "minimale" (IMVHO ha già anche troppa roba... tipo la CA: tenerla sul firewall... BRRR!).
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 102

MessaggioInviato: Mer Lug 22, 2015 12:11 pm    Oggetto: Rispondi citando

NdK ha scritto:
Perché più roba ci metti, più il sistema diventa vulnerabile.
PHP si "tira dietro" una caterva di dipendenze...
Il bello di ZS è proprio che rimane abbastanza "minimale" (IMVHO ha già anche troppa roba... tipo la CA: tenerla sul firewall... BRRR!).


La mia domanda era posta perché sto realizzando un software per il controllo domotico di alcuni appartamenti da far girare sotto ZS.

Oh, sono solo paroloni per descrivere dei semplici script bash da integrare con alcune pagine web accessibili dal walled garden di zerotruth.

Il tuttto previo controllo della presenza di uno specifico cookie sul dispositivo che si collega.

Voglio provarci con ZS perché mi intriga l'idea di una sola macchina per fare tutto, senza acquistare hardware supplementare ed userei le "features" standard di ZS+ZT, senza aprire porte aggiuntive.

Ritieni ci siano particolari accorgimenti di sicurezza che dovrei adottare ?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Lug 22, 2015 1:33 pm    Oggetto: Rispondi citando

La solita serie di considerazioni... Scrivere software sicuro è difficile, e più roba ci metti più si complica.
Forse sarebbe meglio evitare PHP (con tutti i suoi moduli) e scrivere direttamente un CGI (compilato). Più compatto e più "semplice" verificarlo, soprattutto se la parte GUI la fai in JS lato client.
Comunque, più che un cookie, potrebbe essere meglio "firmare" il POST con un segreto condiviso (standardizzi i contenuti del POST e ne calcoli un hmac, che appendi).
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 102

MessaggioInviato: Mer Lug 22, 2015 3:08 pm    Oggetto: Rispondi citando

NdK ha scritto:
meglio evitare PHP (con tutti i suoi moduli) e scrivere direttamente un CGI (compilato). Più compatto e più "semplice" verificarlo,

Ottimo consiglio quello di compilare il cgi...

NdK ha scritto:
soprattutto se la parte GUI la fai in JS lato client.

...ma questo non credo di poterlo fare.

Non ti ho detto che la cosiddetta "interfaccia domotica" sarebbe destinata ad utilizzatori occasionali (tipicamente turisti) che occuperanno gli appartamenti di cui sopra per non più di una settimana.

Per questo mi era venuta l'idea di un cookie con scadenza predefinita (la data di partenza del turista) mentre, se ho compreso il tuo suggerimento Embarassed , usare del codice "lato client" credo richiederebbe l'installazione di "qualcosa" sullo smartphone del turista, cosa improponibile.

NdK ha scritto:
Comunque, più che un cookie, potrebbe essere meglio "firmare" il POST con un segreto condiviso (standardizzi i contenuti del POST e ne calcoli un hmac, che appendi).

Interessante soluzione, effettivamente più robusta di quella basata sul cookie. Dovrò studiare un bel po' per riuscire ad implementarla, ma grazie della dritta.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Lug 30, 2015 2:17 pm    Oggetto: Rispondi citando

xavier ha scritto:
Non ti ho detto che la cosiddetta "interfaccia domotica" sarebbe destinata ad utilizzatori occasionali (tipicamente turisti) che occuperanno gli appartamenti di cui sopra per non più di una settimana.

Per questo mi era venuta l'idea di un cookie con scadenza predefinita (la data di partenza del turista) mentre, se ho compreso il tuo suggerimento Embarassed , usare del codice "lato client" credo richiederebbe l'installazione di "qualcosa" sullo smartphone del turista, cosa improponibile.

No, non installi nulla. Il codice JS viene scaricato all'interno della pagina. Poi però gestisce tutto lui, mandando via via le richieste "puntuali" al tuo CGI.

xavier ha scritto:
NdK ha scritto:
Comunque, più che un cookie, potrebbe essere meglio "firmare" il POST con un segreto condiviso (standardizzi i contenuti del POST e ne calcoli un hmac, che appendi).

Interessante soluzione, effettivamente più robusta di quella basata sul cookie. Dovrò studiare un bel po' per riuscire ad implementarla, ma grazie della dritta.

Beh, la parte difficile (calcolo HMAC) la trovi bella e pronta in vari framework JS. Poi devi solo combinarla con la password (segreto condiviso, inserita dall'utente in una schermata di configurazione ma mai inviata al server) . O, addirittura, volendo c'è un'implementazione JS di RSA... Smile
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it