Всем привет! это будет очень короткая статья. Дело в том, что тут речь пойдет об критической уязвимости SFTP-плагина Sublime Text 3, о которой все должны знать, но знают не все!

Поэтому в название и текст статьи я «напихал» много ключевиков для того, чтобы привлечь как можно больше людей и рассказать об этой проблеме — не судите строго! Поэтому еще ключи для Google: мой отзыв Sublime Text 3 — обзор: настройка, sftp-плагин и безопасность уязвимостей.

Уязвимость SFTP-плагина

У настройка плагина SFT для Sublime Text 3 вполне обычная для Саблайма — вы редактируете JSON файл и вводите туда хост, логин, пароль и порт от … вашего хостинга…

Этот файл сохраняется в … корне папки проекта… эээ… Нет, Sublime не даст вам его закачать в корень папки на хост. Там стоит «защита» от такой закачки — то есть такую процедуру в этом же файле нужно принудительно разрешить.

«Ну фух», скажите вы. Так в чем уязвимость тогда?

А в том, что вы этот файл сможете закачать, например, FileZill’ой или Total Commanderom и т д!

Понимаете уровень опасности? В корне вашего сайта может оказаться JSON-файл с доступом к вашему серверу!

Решение проблемы Sublime Text 3

Ну и конечно же это крутой обзор и настройка Sublime Text 3, а еще отзыв.

Вы закачаете этот файл на сервер в любом случае. То есть лучше вам себя в этом убедить и решить вопрос заранее чем потом разгребать все то, что может произойти изза взлома.

Варианты решения

  1. Перестать использовать SFTP-плагин. Нет, нереально, да?
  2. Никогда не закачивать файл настройки на сервер. Нет, нереально. Раз в год и швабра стреляет и случайно каким то фтп-менеджером кто-то когда-то его «забросит» туда.
  3. Не указывать пароль в файле настройки и при каждом соединении вводить его в prompt. Возможно.
  4. Ограничить доступ по имени файла с помощью .htaccess — обязательно.

Инструкция для .htaccess

<files sftp-config.json>
order allow,deny
deny from all
</files>

После добавления этой записи в .htaccess, файл sftp-config.json не будет доступен извне даже если вы его «зальете» на сервер специально.

СДЕЛАЙТЕ ЭТО НЕМЕДЛЕННО

Please rate this