| |
|
|
| | Здравствуйте, меня интересует вопрос: как защитить админку сайта?
Подскажите пожалуйста, что лучше всего использовать? Я читал о методах защиты с помощью Digest и Basic, но у них есть свои минусы и плюсы и оба подвергаются взлому, но разными путями.
Также SSL, но этого метода не понял...(
На вашем форуме нашёл статью о защите через форму HTML и базу MYSQL с шифровкой MD5, но данные в POST отправляются виде и их могут украсть через специальные программы.
Вообщем о защите я ничего не знаю и поэтому прошу помощи в том, чтобы вы мне подсказали, что лучше использовать для защиты админки и если можно дать какие-то полезные скрипты. Буду очень признателен. | |
| |
|
|
| |
|
|
| |
для: Grends
(02.02.2012 в 19:53)
| | | я себе в скрипте прописал условие, что если введенная инфа из формы не будет равна строке "Fgdh637", то останавливаем скрипт | |
| |
|
|
| |
|
|
| |
для: ladan
(02.02.2012 в 20:33)
| | | Чет не понятно, а какая связь с защитой? | |
| |
|
|
| |
|
|
| |
для: Sfinks
(02.02.2012 в 21:12)
| | | никакой абсолютно | |
| |
|
|
| |
|
|
| |
для: Sfinks
(02.02.2012 в 21:12)
| | | Извините не правильно выразился, я имел ввиду защиту от взлома админской части | |
| |
|
|
| |
|
|
| |
для: Grends
(02.02.2012 в 19:53)
| | | 0) Захотят — взломают. Это аксиома.
1) Если надо защититься от «школьников», то просто расположите админку по адресу site.ru/dcthfdyjultnjkmrjytdrjhyt/ и занесите этот адрес себе в закладки. Школьники тупо не найдут вашу админку. Плюс: вам всё просто, никаких паролей. Минус: уж если найдут, то всё.
2) Следующий уровень зашиты — ввод пароля и проверка его своими силами, то есть прямо в PHP. Плюс: интересно сделать всё самому. Минус: можно ошибиться, ну и снифферы никто не отменял.
3) Значительно более надёжный и гораздо более простой способ — с помощью .htpasswd. Плюс: всё придумали за вас. Минус: придётся чуть-чуть поработать в командной строке.
4) Если паранойя всё равно мучит, то SSL. Плюс: надёжности выше крыши. Минус: сертификат стоит денег. | |
| |
|
|
| |
|
|
| |
для: Киналь
(02.02.2012 в 22:39)
| | | А как могут узнать строку, которую я сам придумал? пусть даже строка из 30 символов, как ее взломщики подберут?
Это сообщение для Sfinks :) | |
| |
|
|
| |
|
|
| |
для: ladan
(02.02.2012 в 22:55)
| | | Они её найдут в поисковых системах... как их находят поисковые системы для меня до сих пор загадка, но проверено экспериментально - рано или поздно они этот секретный путь находят. | |
| |
|
|
| |
|
|
| |
для: cheops
(03.02.2012 в 13:56)
| | | как их находят поисковые системы для меня до сих пор загадка
была у меня догадка..
если на странице есть, например, яндосчетчик посещений, то почему бы и не индексировать заодно? | |
| |
|
|
| |
|
|
| |
для: alexander95
(04.02.2012 в 20:19)
| | | а зачем счетчик на админке?
нет, были у меня заказчики с паранойей - хотели знать, кто и по сколько времени сидит в админке и что там делает. ну, я им сделала несколько таблиц в базе и выводила статистику посещений и действий. но счетчик, да еще не собственный, ставить на админку - это слишком. | |
| |
|
|
| |
|
|
| |
для: elenaki
(04.02.2012 в 20:45)
| | | а если неумелый, начинающий кодер просто взял шаблон одной страницы и убрал почти все лишнее?:) | |
| |
|
|
| |
|
|
| |
для: ladan
(02.02.2012 в 22:55)
| | | Я может че не понял.....
> если введенная инфа из формы не будет равна строке "Fgdh637", то останавливаем скрипт
А в скрипт она (строка) из формы как попадает? Через <input type="hidden"> или у вас в форме есть <input>, который вы при каждом действии заполняете секретной строкой? | |
| |
|
|
| |
|
|
| |
для: Sfinks
(04.02.2012 в 23:06)
| | | простой инпут, типа пароля :) Я 1 раз заполняю и потом просто сессия создается и с ней есть допуск к любой странице админки.. А вообще у меня простая форма с логином и паролем и потом идет сравнение переменных с инфой в бд конкретного пользователя. Если все совпадает, создается сессия с ключом, например, "vvjo8v77snjdncw74r93ejdndajvb9hw" | |
| |
|
|
| |
|
|
| |
для: ladan
(05.02.2012 в 00:50)
| | | Это стандартная авторизация с паролем длинной "много символов" и вводом не через <input type="password"> а через обычный. | |
| |
|
|
| |
|
|
| |
для: Киналь
(02.02.2012 в 22:39)
| | | А есь возможность сделать все 3 пункта? Т.е. расположить админку в site.ru/dcthfdyjultnjkmrjytdrjhyt/ поставить пароль на PHP и с помощью .htpasswd? | |
| |
|
|
| |
|
|
| |
для: Grends
(03.02.2012 в 11:18)
| | | Возможность есть. А вот смысл под вопросом. Всё равно что дверь запирать на засов, потом на всякий случай вешать амбарный замок, а для верности ещё подпирать метёлкой.
Помните про п.0 из моего списка. | |
| |
|
|
| |
|
|
| |
для: Grends
(02.02.2012 в 19:53)
| | | >но данные в POST отправляются виде и их могут украсть через специальные программы.
Смысл в том, что эти специальные программы должны работать либо на сервере, либо на клиентской машине... т.е. нужно сначала заразить клиента... если машина клиента заражена, ему уже ничего не поможет... так как пароль могут просто искать среди набранных символов или просто поискать по машине...
>Также SSL, но этого метода не понял...(
Просто все предварительно шифруется, переправляется по сети в зашифрованном виде, а на друго конце расшифровывается. Причем это делается так, что ничего практически не нужно менять в работе серверного и клиентского кода, браузеры и сервер автоматически переходят на другой порт и осуществляют шифровку/расшифровку трафика. | |
| |
|
|
