o cFosSpeed está agora em novas mãos. A Atlas Tech Solutions é agora proprietária, desenvolve e vende novas versões do mesmo
Novo! Pelos criadores de cFosSpeed: O cFos EVSE

Algumas dicas de segurança

A configuração mais simples é usar o cFos PNet com um utilizador. Para aumentar a segurança, deve criar um utilizador limitado e correr o cFos PNet como esse utilizador limitado. Antes de oferecer serviços públicos, limite o acesso às suas drives e pastas (utilizando as definições de segurança do Windows), de modo a que o utilizador representado pelo cFos PNet apenas possa aceder às suas pastas públicas e privadas.

Também pode permitir a diferentes utilizadores aceder à árvore de pastas do cFos PNet. Ao definir a diretiva User em .htaccess, determina que utilizador é representado quando a pasta correspondente for acedida. A execução de JavaScript também é feita em representação deste utilizador. Utilize as definições de segurança do Windows para restringir o acesso de cada utilizador apenas aos ficheiros e pastas que esse utilizador necessita. Por exemplo, é possível incluir ficheiros "include" arbitrários utilizando o mecanismo "server side include (SSI)". Para permitir que um utilizador aceda apenas aos seus ficheiros, terá de restringir o seu acesso apenas às suas pastas.

Não utilize dados do cliente não interpretados. Por exemplo, se as suas páginas web permitirem input do utilizador exibido como HTML, poderá querer limpar o input para prevenir que tags <script> ou <iframe>, etc. sejam incluídas nas páginas de output. Caso contrário, será possível todo o tipo de ataques entre sites (cross-site).

Os nomes de ficheiro devem ser sempre verificados, para garantir que o acesso é restrito apenas às pastas públicas do cFos PNet's. Pode utilizar as funções filename_ok e absolute_filename para este fim. Por exemplo, um atacante pode tentar usar nomes de ficheiro como "..\..\..\windows\..." para fazer com que os seus scripts acedam à pasta do Windows, ao invés da pasta pública.

A prática recomendada é executar tudo sob um utilizador limitado e restringir o acesso apenas aos ficheiros do cFos PNet.

Documentação do cFos Personal Net