The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Roundcube отключить часть заголовка"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Roundcube отключить часть заголовка"  +/
Сообщение от Alex (??) on 23-Июн-15, 12:49 
на сервере стоит RoundCube
при отправке письма пишутся заголовки:

X-PHP-Script: wwwmail.home.ru/index.php for 192.168.1.3
X-PHP-Originating-Script: 0:rcube.php

как то это на мой взгляд не совсем секурно.
не подскажите как их отключить или исправить?
(но не через php.ini)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Roundcube отключить часть заголовка"  +/
Сообщение от Дядя_Федор on 23-Июн-15, 22:50 
Попробуйте в файле config/main.inc.php изменить параметры $rcmail_config['useragent'] = и $rcmail_config['product_name'] = а также $rcmail_config['http_received_header'] = false;
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Roundcube отключить часть заголовка"  +/
Сообщение от eRIC (ok) on 24-Июн-15, 06:33 
> Попробуйте в файле config/main.inc.php изменить параметры $rcmail_config['useragent']
> = и $rcmail_config['product_name'] = а также $rcmail_config['http_received_header']
> = false;

$rcmail_config['http_received_header'] = false; отвечает на заголовки типа:

Received: from [99.X.Y.Z] by webT.mail.X.yandex.ru via HTTP;

X-PHP-* header подставляет не Roundcube, а сам движок PHP, который можно отключить в php.ini при помощи ключа mail.add_x_header

но к счастью в функции mail в php может передать дополнительные заголовки, которые можно спуфить, к примеру:

mail("user@host.com","Subject Line","Body","X-PHP-Mailer-Script: {$_SERVER[HTTP_HOST]}{$_SERVER[REQUEST_URI]}\nX-PHP-Mailer-Path: {$_SERVER[SCRIPT_FILENAME]}\nX-PHP-Remote-IP: {$_SERVER[REMOTE_ADDR]");

взято из https://bugs.php.net/bug.php?id=19538

гляньте вот это тоже http://www.the-art-of-web.com/php/x-php-script/

хакайте Roundcube файл program\lib\Roundcube\rcube.php, фунцию deliver_message где через mail() передается сообщение

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Roundcube отключить часть заголовка"  +/
Сообщение от Andrey Mitrofanov on 24-Июн-15, 09:41 
> X-PHP-Script: wwwmail.home.ru/index.php for 192.168.1.3
> X-PHP-Originating-Script: 0:rcube.php
> как то это на мой взгляд не совсем секурно.

Снявши голову по 1 строчке не плачут. PHP рфы you, Neo.

> не подскажите как их отключить или исправить?
> (но не через php.ini)

Второй вот так--

Исходники php посмотреть, обнаружить "PG(mail_x_header)" -
http://php.net/manual/en/mail.configuration.php#ini.mail.add...

Какой-нибудь php.ini-development почитать:
; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = On

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Roundcube отключить часть заголовка"  +/
Сообщение от Alex (??) on 24-Июн-15, 12:10 
действительно, во всем виноват php с этими заголовками, некие варианты защиты, поиск скриптов рассылающих спам и так далее.

в php.ini прописал
mail.add_x_header = Off

избавился от "X-PHP-Originating-Script" это хоть что то.

а вот как отключить "X-PHP-Script" в php еще актуально.


по поволу моей паранои. все мы со своими тараканами.
мне не нравится что "X-PHP-Script" указывает мой домен веб формы на которой стоит Roundcube.
так как эта вещь распростаненная, то при нахождении какой нибуть дырки, очень легко на мой взгляд просканерить ответы...  ну и так далее. понятно что паролится папка на уровне apache ... и это сделаем.

вот я по возможности и создаю проблемы... отключаю все опасзновалки... версии.. название ПО..

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Roundcube отключить часть заголовка"  +/
Сообщение от Дядя_Федор on 24-Июн-15, 14:23 
security through obscurity. :) Тоже неплохой вариант.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру