Adminer 4.1.0

Asi největší novinkou právě vydané verze Admineru je ochrana proti pokusu o získání hesla k databázi hrubou silou. Adminer nově dovolí jen 30 neplatných pokusů o přihlášení za 30 minut (počítáno od prvního neplatného pokusu). Další pokusy (ať už se správným nebo špatným heslem) se ignorují, dokud nevyprší časový limit. Limit se vztahuje na IP adresu, nikoliv na uživatelské jméno. To je ze dvou důvodů:

1. Útočník může zkoušet různá uživatelská jména, nemusí být zaměřen jen na jedno.
2. Při vazbě na uživatelské jméno by útočník mohl oprávněnému uživateli zabránit v přihlášení úmyslným zadáváním špatných hesel (DoS).

Limit je poměrně velkorysý, protože mě rozčiluje, když mi některé služby třeba po třech neplatných pokusech o přihlášení ukážou dlouhý nos. Také jsem zohlednil, že stejnou IP adresu může používat více uživatelů, např. ze stejné firmy s proxy serverem. Pokud máte webový server umístěný za reverzní proxy a všechny požadavky chodí ze stejné IP adresy, tak je vhodné implementovat metodu Adminer::bruteForceKey() tak, aby vracela poslední část hlavičky X-Forwarded-For. Jinak vám hrozí DoS. Hlavička X-Forwarded-For se bohužel nemůže kontrolovat automaticky, protože jde triviálně podstrčit.

Přemýšlel jsem i o přidání CAPTCHA, což by zamezilo riziku DoS. reCAPTCHA ale používá privátní klíč, který by musel být součástí Admineru, a ostatní řešení jsou obvykle celkem snadno prolomitelná.

Data se ukládají do upload_tmp_dir nebo pokud není nastaven, tak do sys_get_temp_dir(). Tyto adresáře někdo pravidelně promazává, nicméně vzhledem k poměrně krátké platnosti dat by to nemělo moc vadit.

I přes tuto ochranu je vhodné přístup k Admineru omezit, např. v Apache pomocí Access Control. Případně pokud Adminer použijete někde jen jednorázově, tak ho zase po sobě smažte. Odkaz na Adminer také nikam zbytečně nedávajte a neumisťujte ho na snadno uhodnutelnou adresu. Pokud Adminer používají zákazníci vašeho hostingu, tak jim k němu umožněte přístup jen pokud jsou přihlášeni do administrace hostingu.

Další novinky

• V přehledu databází je možné nově zobrazit jejich velikost v bajtech. Už dříve se tam zobrazoval počet tabulek, ten se nově spolu s velikostí zobrazí až po explicitní akci. Změnil jsem to proto, že operace zbytečně zatěžuje databázový server a někdy nás tyto informace nemusí zajímat. Ale nad přidáním dříve nepotřebného kliknutí navíc jsem dlouho přemýšlel.
• Pokud dříve došlo při klonování záznamu nebo vícenásobné editaci k chybě, tak se zobrazila jen chybová hláška a výpis dat. Tento závažný prohřešek proti použitelnosti (se kterým se ale uživatel naštěstí nesetkal moc často) je nově opraven tím, že se zobrazí chybová hláška a formulář s odeslanými daty.
• Textarea se zvýrazňováním syntaxe bohužel v některých prohlížečích nefunguje stoprocentně a přemýšlel jsem o tom, že ji zase vyhodím. Už by to byla třetí implementace, kterou jsem do Admineru přidal a zase odebral. Prozatím jsem ji nechal a alespoň opravil problém s nezlomitelnými mezerami, které některé prohlížeče umísťují na konce řádků. To způsobovalo těžce odhalitelné chyby jako „Neplatná tabulka 'tab '.“
• Ve výpisu dat se nově zobrazuje čas jejich provedení stejně jako u všech ostatních dotazů. Čas nově není umístěn v komentáři SQL dotazu, ale jen v HTML kódu. Jeho umístění do SQL komentáře byl hloupý nápad.
• Pro kompresi Gzip se dříve používal jednoduchý obrat ob_start('gzencode'). Problém byl, že funkce ob_start posílá callbacku druhý parametr označující fázi bufferingu. Funkce gzencode druhý parametr ale chápe jako stupeň komprese, takže nízká čísla posílaná funkcí ob_start způsobí malou kompresi. Nově se proto volá ob_start(function ($string) { return gzencode($string); }), což použije výchozí kompresi.
• Externí odkazy se už dávno přesměrovávají přes adminer.org. Je to proto, aby se vlastník cílové stránky nedozvěděl, na jaké adrese Adminer běží. Nejsem s tím spokojen ze tří důvodů: odkazy se nedají snadno kopírovat, je to drobné zdržení a někteří uživatelé to chápou jako porušení svého soukromí. Já data neprohlížím ani je nijak nezpracovávám, ale uživatelé to nemají jak ověřit. Pořád to ale považuji za menší zlo než riziko uniknutí adresy Admineru na náhodné weby. Existují různé hacky, jak problém vyřešit bez externího přesměrování (využívající např. <a href="data:"> nebo <iframe src="javascript:">), ale nejsou podporované napříč prohlížeči a v každé verzi můžou přestat fungovat. Správné řešení je použít atribut <a rel="noreferrer">, který bohužel zatím podporuje jen WebKit (Chrome, Safari a nová Opera). Adminer proto externí přesměrování alespoň v těchto prohlížečích nově nedělá.
• V MySQL nefungoval typ enum v uložených procedurách. Taky nešlo editovat řádky podle binárních sloupců (např. pokud byly součástí primárního klíče). V MySQL 5.6.5 a novějším je možné také nastavit klauzuli ON UPDATE pro sloupce typu datetime (už dříve to šlo pro timestamp).
• Export nově respektuje letní čas. Adminer v exportovaných datech nastavoval časové pásmo používané zdrojovým serverem. Ale protože jeho textová reprezentace nemusí na cílovém serveru existovat, tak používal jeho číselnou verzi. A to právě způsobovalo problém s letními (nebo naopak normálními) časy. Adminer proto nově všechny časy převede do pásma +00:00 a totéž nastaví v exportu. Export je kvůli tomu o trochu hůře čitelný, moc lidí si ho ale myslím nečte.
• SQLite a Oracle podporují UPDATE OF triggery, které se vyvolají jen při změně určitého sloupce. Adminer je nově dovoluje spravovat stejně pohodlně jako ostatní triggery.
• V SQLite se dříve nezobrazovaly automaticky vytvořené unikátní indexy, to je nyní opravené.
• V Adminer Editoru jsem opravil metodu login(), která dříve mohla volat metodu na neinicializovaném objektu. Bohužel jsem si této chyby dříve nevšiml, protože sám metodu login() zásadně překrývám.
• V arabštině, bengálštině a farštině se nově v překladech lokalizují čísla. Věděli jste, že 0123456789 se v těchto jazycích řekne ٠١٢٣٤٥٦٧٨٩, ০১২৩৪৫৬৭৮৯ a ۰۱۲۳۴۵۶۷۸۹?
• Přibyl vietnamský překlad.

Jakub Vrána, Adminer, 18.4.2014, diskuse: 46 (nové: 0)

Diskuse

Diskuse je zrušena z důvodu spamu.

Navigace

PHP triky

• Archiv (704), English articles
• RSS, Atom, Atom diskusí
• O autorovi, o webu, Twitter

Kupte si mou knihu

Reklama

• Hledáte-li programátora nebo naopak sami programujete a nemáte do čeho píchnout, využijte služeb portálu nezávislých profesionálů Na volné noze.

Web běží na serveru

• Váš hosting

Články podle skupin

• Dobře míněné rady (111)
• Řešení problému (170)
• Výuka (100)
• Seznámení s oblastí (102)
• Ze zákulisí (69)
• Školení (31)
• Verze PHP (8)
• Osobní (46)
• Adminer (67)

Výběr článků

• Traverzování kolem stromu prakticky
• Vlastní pořadí řádků v tabulce
• Ukázka použití indexů
• Struktura stránek
• Unikátnost návštěvníka
• Vyhledávání v JavaScriptu
• Kontrola e-mailové adresy
• Vytvoření přátelského URL
• HTTP cachování
• Atomicita operací
• Vypnutí magic_quotes_gpc
• Ukládání souborů od uživatele
• Cross Site Scripting
• AJAX
• Přihlašování uživatelů
• MySQL 4.1 – kódování
• Vzájemné propojení souborů
• Diskuse s reakcemi
• Šablony
• HTTP metody GET a POST
• Escapování
• Ukládání hesel
• Využití unikátních klíčů v databázi
• Obrana proti SQL Injection

Nejnovější články

• Adminer 4.8.1
• Adminer 4.8.0
• Adminer 4.7.9
• Vypnutí chyby při přístupu k nedefinovanému prvku pole
• Users of Adminer 3.7.1 and older might have been hacked

Normy a manuály

• PHP
• MySQL
• HTTP
• Apache
• HTML, XHTML
• JavaScript

Další projekty

• Adminer
• NotORM
• JavaScript Syntax Highlighter
• php-initialized
• Čtyřka