Only local images are allowed.WOW!!! Selamat ke? Nanti web kena hack! Tak bahaya ke? Hrm, itu antara perkataan atau ucapan yang biasa bagi pengguna yang selalu membuat laman web. Tetapi bagi pengguna baru, APA MENDA CHMOD NI BRO???.. CHMOD ni sbenarnye singkatan dari "change mode" atau kebenaran mengakses sesuatu folder atau files bagi server Linux.



CHMOD ini akan membolehkan sesuatu folder atau files tersebut diakses oleh 3 peringkat iaitu Owner (admin), Group (sistem web) dan Public (pengguna). Dan setiap peringkat mempunyai 3 kebenaran iaitu Read (baca file/folder), Write (tulis file/folder) dan Execute (jalankan file/folder).



Kebiasannya, perisian FTP yang biasa digunakan menggunakan Octal Number bagi mewakili setiap kebenaran untuk memudahkan dan men"standard"kan penggunaan CHMOD ini. Berikut merupakan senarai Octal bagi mewakili kebenaran tersebut:












CHMOD

Write

Read

Execute

0

x

x

x

1

x

x


2


x

x

3


x


4

x


x

5

x



6



x

7




Jadi, apabila ada arahan untuk CHMOD 777, bermakna setiap peringkat iaitu (Owner, Group, User) ketiga-tiganya mempunyai kebenaran untuk Write, Read dan Execute.



Isu CHMOD 777



Dari penerangan kat atas tuh, jelas sekali sekiranya sesuatu folder tuh disetkan kepada CHMOD 777, bermakna semua pengguna tidak mengira admin, pengguna berdaftar atau tetamu boleh mengakses folder tersebut dengan bebas. Ini menjadi ketakutan kepada sesetengah pembangun laman web yang baru terutamanya kerana bimbang laman web akan digondam oleh para hackers ni.



Ada juga yang memberi pendapat dan sememangnya ini adalah tetapan yang terbaik, setiap folder seharunya mempunyai CHMOD 775 dan fail mempunyai CHMOD 664. Kenapa folder 775 manakala fail 644? Folder perlu 775 supaya owner dan sistem web mempunyai kebenaran penuh untuk baca, tulis dan jalankan segala fail yang ade di dalam folder tersebut.



Manakala fail perlu 644 (terutama fail yang menyimpan configuration laman web spt config.php, configuration.php) supaya owner sahaja boleh ubah fail tersebut dan yang lain dibenarkan untuk membaca sahaja bagi mengelakkan digodam dengan memasukkan dan mengubah elemen2 penting seperti kata laluan, maklumat pangkalan data dan lain-lain yang tersimpan dalam files tersebut.



Namun CHMOD ni bergantung kepada sistem laman web yang digunakan. Ada yang meminta untuk buat 755, 640 dan 600. Semuanya bergantung. Tetapi keadaan ini akan timbul masalah kepada folder "cache" iaitu folder penyimpanan sementara laman web yang jika laman web yang sama dibuka, sistem secara dinamik tidak perlu lagi memanggil data-data dari database untuk meningkatkan kelajuan "page load". Sebaliknya hanya memaparkan terus laman tersebut.



Oleh sebab kebanyak laman web dinamik memerlukan akses sepenuhnya untuk setiap laman, kadang-kadang timbul konflik di mana admin boleh gunakan laman web seperti biasa, tetapi bila pengguna biasa (tetamu) menghadapi masalah tidak dapat bukak laman web anda. Kerana mereka tidak mempunyai kebenaran untuk tulis, baca dan jalankan sebarang files dalam folder tersebut.



Jalan Penyelesaian



Oleh itu, langkah terakhir untuk atasi masalah ini adalah dengan menetapkan CHMOD kepada 777. Tetapi jangan risau, walaupun kita memberikan kebenaran penuh kepada tetamu untuk mengakses folder ini, kita perlu letakkan seorang "pengawal" di dalam folder tersebut. Siapa lagi kalau bukan ".htacess".



  1. Buka Notepad dalam Windows anda.

  2. Kemudian tulis kod di bawah ini:
    <Files *>

        Order Allow,Deny

        Deny from All

    </Files>

  3. Simpan dengan nama .htaccess DAN pastikan pada "Save as type" disetkan kepada "All Files". Jika tidak jadi extension .TXT plak fail tuh.

  4. Kemudian upload masukkan ke dalam folder cache/temporary kita.


Belum selesai lagi. Sekarang pengawal tuh akan halangkan ke semua arahan yang diterima dari tetamu untuk mengakses fail-fail yang ada dalam folder cache tersebut. Tetapi hacker ni masih ade jalan lagi. Sekarang sekiranya tetamu dapat mengetahui nama fail yang dihasilkan dalam folder cache, mereka akan menghasilkan satu fail dengan NAMA yang sama tetapi mengandungi arahan aturcara untuk menjahanamkan laman web anda dan upload masuk ke dalam folder tersebut supaya sistem laman web akan tertipu dengan NAMA YANG SAMA kerana tetamu MASIH boleh paparkan senarai fail-fail yang terdapat dalam folder cache tersebut dengan hanya men"target"kan cache folder tadi pada alamat pelayar seperti "http://www.example.com/cache".



Jadi, kita kena kaburkan mata diorg nih dengan buat magic sket.



  1. Bukak Notepad Windows.

  2. Kemudian terus "Save", kalu nak tulis pape pon boleh mcm: "Dah pergi main jauh!"

  3. Simpan sebagai "index.html"

  4. Dan pada "Save as type" pilih "All files".

  5. Uploadkan fail tadi ke dalam folder cache.


Bila ada tetamu cuba untuk bukak folder tersebut, hanya laman web kosong atau putih akan dipaparkan. Atau keluar mesej yang anda tulis tadi.



Jadi sekarang, anda tidak perlu lagi risau walaupun folder tersebut mempunyai CHMOD 777. Selamat mencuba.



Maklumat tambahan: http://en.wikipedia.org/wiki/Chmod

Penilaian: 
1
Your rating: None Average: 1 (1 vote)

Komen

danizones's picture

bgus pnye info..TQ!!!

tetamu's picture

haha... idea yang simple + menarik + berguna ditambah pulak dgn ayat lawak... thanks...