Bezpieczeństwo serwisów WWW

Założony przez Daniel Praźmo.

Z racji, że w którymś z tematów rozwinęła się dyskusja na ten temat, otwieramy wątek o bezpieczeństwie i systemach ochrony serwisu w HP.


(19.05.2012, 18:24)gloverek napisał(a): reCAPTCHA musi być.
E tam, gadasz bzdury. Nie korzystam z reCaptchy ani tego śmiesznego COPPA i jak do tej pory brak botów przy PR=3 i w miarę dobrej pozycji w wyszukiwarce. Wystarczył Ulepszony antyspam by LukasAMD, przy którym nie trzeba przynajmniej dziesięć razy odświeżać obrazka, żeby się rozczytać. A zapewniam Cię, że gdybym go wyłączył, to po tygodniu miałbym istny syf na forum.
:: Akcja DZIĘKUJĘ ZA POMOC ::
Pomocy udzielam jedynie na forum. Wszystkie rzeczy wykraczające poza tą dziedzinę wykonuję odpłatnie.
TaniDedyk.pl
gloverek napisał(a):reCAPTCHA musi być

Oczywiście, że być nie musi.
Zarządzam technicznie trzema forami (wszystkie na phpBB3), do tego dwoma spiętymi z nimi serwisami z możliwością komentowania materiałów jako gość.
Na forach nie ma recaptchy, jest standardowa, bardzo prosta do odczytania captcha + "dodatek ogłupiający".
Na portalach nie ma w ogóle captchy, jest tylko pewien zabieg zastosowany.

Spamu nie ma, a jeden z serwisów ma już... 6 lat?
lukasamd, widocznie zbyt mały ruch (skutecznosc reklamowa).
Nie powiedziałbym.
Jeden z serwisów ma po kilka pierwszych pozycji na wszystkie najważniejsze dla niego frazy.
Inny jest bardzo popularny ze względu na download (w zasadzie przez tylko jeden plik).
Jeszcze inny stoi wysoko na najróżniejsze frazy powiązane z jego tematyką.
Ogólnie większość odwiedzających w każdym przypadku to nowi użytkownicy, głównie z Google.

Oczywiście nie mówię, że zabezpieczanie jest w 100% bezpieczne, bo wszystko się da złamać, ale... stosuję od dawna, wdrażam w nie swoich witrynach i również problemu nie ma.
Dodatkowo otwarcie przyznaję, że administratorów używających reCaptchy uważam za "brutalnych" względem nowych użytkowników i godzących się z faktem niesamowitego utrudniania im życia. Kiedyś to zabezpieczenie było niezłe i do normalnego spisania. Teraz takie nie jest.
Skoro już wywiązała nam się mała pogadanka o captchy i ochronie serwisów, wtrącę swoje trzy grosze, a potem wydzielę to do Hyde Parku.

reCaptcha może i być najlepszym zabezpieczeniem, ale wolę od czasu do czasu usunąć pojedynczego bota, niż zniechęcać użytkowników do rejestracji.
:: Akcja DZIĘKUJĘ ZA POMOC ::
Pomocy udzielam jedynie na forum. Wszystkie rzeczy wykraczające poza tą dziedzinę wykonuję odpłatnie.
(19.05.2012, 18:44)Nidrax napisał(a): ani tego śmiesznego COPPA

Pomyłka: COPPA nie jest zabezpieczeniem przeciw botom, to wymóg prawny wobec stron działających w US gdzie małoletni legalnie nie może zarejestrować się na stronie internetowej bez zgody rodzica.

Sam jadę na Q&A, i działa. Zero botów.
@Riess
Chodzi o to, że Gloverek wszystkim doradza włączenie kontroli COPPA jako środek antybotowy.
:: Akcja DZIĘKUJĘ ZA POMOC ::
Pomocy udzielam jedynie na forum. Wszystkie rzeczy wykraczające poza tą dziedzinę wykonuję odpłatnie.
To głupota, COPPA ma zablokować rejestracje nieletnich, nie spamboty. :)
(19.05.2012, 23:20)Nidrax napisał(a): reCaptcha może i być najlepszym zabezpieczeniem, ale wolę od czasu do czasu usunąć pojedynczego bota, niż zniechęcać użytkowników do rejestracji.
reCaptcha była najlepszym zabezpieczeniem kilka lat temu. Obecnie, różne softy mają własny OCR z wysoką skutecznością łamania recaptchy i innych rodzajów tokenów, a jak nie to pozostają hindusi od deathbycaptcha :)

A poza tym, jeszcze nie wpadłeś w różne listy spamerskie, czy to ogólnodostępne czy sprzedawane, ale jak wpadniesz to nie nadążysz z usuwaniem botów czy postów po nich :D
Piszę tu o admin/index.php

znam metodę na folder login i hasło, zmiana nazwy folderu admin
na ip htaccess
tak zastanawiam się czy jest możliwość zabezpieczenia pliku w htaccess
admin/index.php za pomocą z user-grup gid4
czyli grupa administratorów tylko ma dostęp do tego pliku , lub dopisanie kodu php by tylko logowanie wyświetlał tej grupie.
Jest to wykonalne, ale nikt tego nigdy nie zrobił ponieważ panel, a forum to dwa różne światy. :)
Wstaw Fake ACP i wszyscy idioci (bo tylko tak można nazwać lamerów, którzy umieją jedynie odpalić odpowiedni soft łamiący lub przeprowadzić SQL-I/XSS) będą próbować się włamywać do fałszywego panelu.

I nie, takiej rzeczy nie zrobisz za pomocą .htaccess, chyba że za pomocą IP whitelist
Kod:
order deny,allow

deny from all
allow from x.x.x.x
albo modyfikując bezpośrednio panel admina, ale jak napisał Krzysiu, jest to dość trudne do wykonania.
:: Akcja DZIĘKUJĘ ZA POMOC ::
Pomocy udzielam jedynie na forum. Wszystkie rzeczy wykraczające poza tą dziedzinę wykonuję odpłatnie.
O tyle ta metoda najbardziej pasuje, są administratorzy klika jak zabezpieczę ip , ktoś inny ma zmienne ip to odpada , hasło na folder trzeba podawać każdemu.
W ten sposób zarejestrowani użytkownicy i goście nie wyświetlą admin/index.php
nawet dałbym im przekierowanie do obrazka :)
To nie obrazek, tylko cały skrypt, który wysyła Ci na maila wiadomość z loginem i hasłem, którego użyto do logowania oraz IP sprawcy.
https://mybboard.pl/thread-11465.html
:: Akcja DZIĘKUJĘ ZA POMOC ::
Pomocy udzielam jedynie na forum. Wszystkie rzeczy wykraczające poza tą dziedzinę wykonuję odpłatnie.
Ja tutaj mam Takie haslo dla administratorow , mozna sobie wybrac jakie sie chce :

wchodzimy do FTP -> /admin/inc/class_page.php
zanjdujemy linijke bodajze 391
Cytat:<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>

<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>

usuwamy to i zamieniamy na to :

Cytat:<div class="label"{$login_label_width}><label for="password">{$lang->password}</label></div>

<div class="field"><input type="password" name="password" id="password" class="text_input" /></div>



<div class="label"{$login_label_width}><label for="pin">Secret PIN</label></div>

<div class="field"><input type="password" name="pin" id="pin" class="text_input" /></div>

Pozniej wchodzimy do FTP jeszcze raz -> /admin/index.php

znajdujemy :

Cytat:if($user['uid'])

{

$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");

$mybb->user = $db->fetch_array($query);

}

i zamieniamy na :

Cytat:if($user['uid'])

{

$query = $db->simple_select("users", "*", "uid='".$user['uid']."'");

$mybb->user = $db->fetch_array($query);

}



if (isset($config['acp_pin']) && $mybb->input['pin'] != $config['acp_pin']) {

$default_page->show_login("Invalid PIN","error");

}

Nastepnie otwieramy /inc/config.php w FTP
i wstawiamy tam kod :
Cytat:$config['acp_pin'] = 'yourpin';

tam gdzie yourpin wstawiamy kod do panelu ACP .

Wyglada to tak :

[Obrazek: attachment.php?aid=86]

Licze ze pomoglem . Sam korzystam z tego zabezpieczenia .


Użytkownicy przeglądający ten wątek:

1 gości