Temos pavadinimas: WordPress, Shopify ir PHPFusion programuotojų bendruomenė :: PHP-FUSION saugumas.

Parašė bruzgis· 2009 Rugp. 11 13:08:48
#1

Būtų įdomu sulaukti iš žmonių idėjų, kaip būtų galima apsisaugoti nuo spam botų, floodinimo, hackerių ir panašiai. Pats asmeniškai esu sagalvojęs serverals būdų, kaip apsiginti nuo scriptvaikių. Tai gal kas papostintumėt kaip būtų galima rimčiau apsigint?


mano keletas sugalvotų variantų ir beveik visi jau išbandyti vienoje svetainėje, kurią netrukus pateiksiu.

SIP. Prisijungimas tik su tam tikrais ip


IP įrašymas į cookius, prisijungiant tikrinimas ar ip tas pats. Jeigu ne tas pats, tačiau loginai sutampa, tuomet cooki naikina ir kuria naują.


Apsauga nuo flodinimo. PO kiekvieno posto (žinoma atskirai komentaram, forumui, prisijungimui, registracijai, žinutėms, šaukyklai, apklausai ir panašiai) registruoti sesiją, sekančiu POST tikrinti ar po tos sesijos registracijos praėjo tam tikras laiko tarpas, jeigu ne, tuomet blokuotik POSTinimą ir alertinti, kad lauktų...


Administraciją kišti po atskiru subdomenu, o ne į folderį. Geriau saite niekur nedėti nuorodų į administra imą.


Prisijungimą prie administracijos padaryti su sesijom.


Kiekvienam prisijungimui prie administracijos suteikti vis naują PIN kodą. Pradžiai skaitykim nustatyti 0000 ir vėliau po sėkmingo prisijungimo suteikti naują PIN kodą vėl sekančiam prisijungimui.


Įsidiegti bloodo pasiūlytą SPECIAL_ID, padėtų kažkiek apsisaugoti nuo cookių sukeitimo


Pasikeisti slaptažodžių koduotę.


Pasikeisti visų folderių pavadinimus


Pasikeisti duombazių pavadinimus, keisti kintamuosius visam tvse.




Tai tiek iš mano pusės, gal ir jūs ką nors pasiūlytumėt?

Parašė Kelmas· 2009 Rugp. 11 13:08:30
#2

Žmogau su cookes bereikalingai žaidi, mesk juos laukan, ir įdėk sessions sistema kuri tikrai apsaugos daugiau nuo tokiu bajerių. :) Bei pakeisk jų strūktura.

Pasikeisti visų folderių pavadinimus

Pasikeisti duombazių pavadinimus, keisti kintamuosius visam tvse.


Tokie dalykai tikrai saugumo neatneša. :) Išbandyta ir patikrinta seniai jau.

Šeip jeigu darai S.I.P sistema tai daryk, kad ją galėtu naudotis tik su email patvirtinimais ir t. t. Paskui, kad narys galėtu surašyt tiek ipų kiek jis nori (Tikrinimui naudok in_array + simbolį koki)

Redagavo Kelmas· 2009 Rugp. 11 13:08:35

Parašė Exz0sT· 2009 Rugp. 11 13:08:01
#3

Visiems gerai žinoma .htaccess neblogai apsaugo.

Parašė FanatiC· 2009 Rugp. 11 13:08:28
#4

Nuo admin paneles gal ir apsaugo bet paziurek,nuo shellu,cookiu,sql infekciju ir t.t.

Parašė MAnjack· 2009 Rugp. 11 13:08:03
#5

Kiekvienam prisijungimui prie administracijos suteikti vis naują PIN kodą. Pradžiai skaitykim nustatyti 0000 ir vėliau po sėkmingo prisijungimo suteikti naują PIN kodą vėl sekančiam prisijungimui.

Šitą dalyką vienam saitui darausi, tik jis veiks kiek kitaip. Kiekvienas narys turės savo saugumo kodą kurį įves einant į administraciją, arba keičiant SIP nustatymus. Saugumo kodas generuojasi išraidžių ir skaičių, sugeneravus siunčia į email, o ten turi jį patvirtinti. Tiesa, jį reikia atsiminti, nes saite jo niekur nerašo, nebent pasiliktum laišką. Aišku, bus galima ir pernaują susigeneruoti.

Parašė bruzgis· 2009 Rugp. 11 13:08:53
#6

manjack tai tu pasakiai ta pati kas admino slaptazodis, mano geriau, vis naujas ir tik po sekmingo prisijungimo gauni ta nauja. nu galima daryt kad ji siustu i pasta, bet perdaug sunkus valdymas gautusi

Parašė sniuff· 2009 Rugp. 11 13:08:10
#7

Sakau darykit, kaip bankuose. Kai narys būna priskiriamas adminstratoriumi jam į el.paštą nukeliauja Lapas su 30 raktų, ir jie visi būna puslapio Db surašyti ir norint patekti į admin valdymą reiktų įvesti kurį nors iš slaptažodių.

Parašė MAnjack· 2009 Rugp. 11 13:08:49
#8

Sniuff, idėja nebloga, gal reiks pasidaryti. Tik reikia tada e-mail apsaugoti, nes kitu atvėju pakeistų ir nusisųstų į kitą tuos visus pass.

Parašė bruzgis· 2009 Rugp. 11 15:08:10
#9

NU tai neleist keitimo tu paswordu..

Parašė Kaktusoidas· 2009 Rugp. 11 15:08:52
#10

Sniuff parašė:
Sakau darykit, kaip bankuose. Kai narys būna priskiriamas adminstratoriumi jam į el.paštą nukeliauja Lapas su 30 raktų, ir jie visi būna puslapio Db surašyti ir norint patekti į admin valdymą reiktų įvesti kurį nors iš slaptažodių.

Norėjau tą patį pasiūlyti. Geriausiai būtų atsispausdinti ir turėti, negu kokiame nors el. pašte laikyti ar pan.