Главная страница / Советы / Безопасность, безопасность, безопасность ....
январь 19 2007

Безопасность, безопасность, безопасность ....

celsoft 19 января 2007 Советы 19 693
Уважаемые друзья!

Хотелось бы написать одну очень полезную статью, но не знаю с чего начать ... Начнем пожалуй с того, что я хочу рассказать вам безопасности скрипта и ваших сайтов, точнее о том как ее можно сделать максимально эффективной. Не все в полной мере владеют информацией о всех настройках скрипта и о том как их применять наиболее эффективо. Речь в этой статье пойдет о версии 5.3, так как именно в ней реализован полный спектр инструментов, исключающих манипуляцию с вашим сайтом.

Итак, помимо того в скрипте существуют пассивная система безопасности, котороя контролирует и фильтрует входящие данные, поступающие на сервер, в скрипте также заложены и элементы активной системы безопастности, уровень которых вы можете настроить с скрипте. Редактирование настроек безопасности находится в админпанеле Настройка системы -> Настройки безопасности скрипта

В первом пункте вы можете настроить Метод авторизации в админпанели, существует два типа авторизации: Стандартный и Расширенный. К работе стандартного режима вы уже все привыкли, вам достаточно авторизоваться где угодно на сайте и впоследствии вход в админпанель происходит автоматически с вашего компьютера. Расширенный метод полностью запрещает неавторизованный доступ к странице admin.php, до тех пор пока вы не введете логин и пароль, которые будут действительны на протяжении всей сессии, после закрытия браузера и повторного входа в админпанель, вам понадобится еще раз вводить свой логин и пароль. Для авторизации в админпанеле используется HTTP аутентификация, что очень надежно и позволяет вводит логин и пароль достаточно просто, либо просто одним шелчком мышки, если пароль сохранен в браузере. Данный расширенный метод исключает вход в вашу админпанель в случае если злоумышленником были украдены cookies с вашего копьютера.

Следующим пунктом в настройках идет Контроль изменения IP адреса, данная настройка позволяет контролировать изменился ли IP пользователя с момента его последней авторизации на сайте, если он изменился, то автоматическая авторизиция отключается и пользователю повторно необходимо ввести свой логин и пароль. Подождите, скажете вы, но есть же расширенный метод авторизации, зачем нужна эта настрока? Поясняю расширенный метод авторизации контролирует только админпанель, а контроль изменения IP адреса контролирует весь ваш сайт, сбрасывая авторизацию и непосредственно на сайте. При установке среднего уровня контроля, скрипт будет отслеживать только посетителей, которые имеют расширенные привилегии и имеют доступ к админпанели, высокий уровень контроля будет отслеживать всех зарегистрированных посетителей, независимо от их привилегий на сайте. Включение данной настройки, также делает бессмысленным кражу ваших куков, они не смогут работать на другом компьютере.

Следующей настройкой является Сброс ключа авторизации при каждом входе, в случае если вы включаете данную настройку, то при каждой успешной авторизации пользователя на сайте, скрипт будет генерировать уникальный ключ, и при авторизации на другом компьютере будет использовать уже другой уникальный ключ, тем самым более ранная авторизация на первом комьютере, становиться автоматически недействительной и работать больше не будет. Например вы зашли на свой сайт на чужом комьютере и впоследствии просто забыли сделать выход на своем сайте, вам достаточно зайти на свой сайт на другом комьютере, как оставленная вами авторизация у друга или в интернет кафе, станет автоматически недействительной.

Иногда случаются совсем критические случаи, одним из таких случаев является, то что злоумышленник элементарно знает ваш пароль, и казалось бы что против такого лома нет приема, но DataLife Engine способен с легкостью защитить вас и казалось бы такой критической ситуации. Вы можете установить разрешение на использование вашего логина только с определенного IP адреса или подсети. Для это вам достаточно зайти в ваш профиль на сайте и установить Блокировку по IP. Вы можете задать как ваш полный IP адрес, так и частичный. Например большинство людей имеет динамический IP адрес, который меняется при каждом входе в интернет. Но как правило провайдер обладает только определенным диапазоном IP адресов и первые цифры у него одинаковы всегда, и в вашем IP адресе меняются только последние две цифры. Например если вы устанавливаете блокировку по IP на адрес 203.158.*.* тем самым вы блокируете вход на ваш сайт если для выхода в интернет используется не ваш интернет провайдер. Диапазон ваших динамических адресов, вы можете узнать, осуществив несколько раз выход в интернет и посмотрев как изменился ваш адрес, либо просто уточнив этот момент у вашего интернет провайдера. В случае если у вас стоит блокировка по IP, вам нужно получить доступ к сайту совсем с другого места, то вам необходимо запросить восстановление пароля на E-mail, после подтверждения будет сброшен не только пароль, но и блокировка по IP адресу.

Итак подводя итоги данной статьи мы хотим порекомендовать вам использование следующих пунктов и настроек:

1. Метод авторизации в админпанели: Расширенный метод
2. Контроль изменения IP адреса: Средний
3. Установка блокировки по IP
4. Не использование украденных копий скрипта, иначе все статьи и рекомендации по безопасности становятся бесмысленными, 99% процентов взломанных копий скрипта несут в себе потайные входы на ваш сайт со стороны злоумышленников, причем это не наш призыв к покупке скрипта, а печальный анализ пиратских версий, это ведь сказывается на нашей репутации. Если нет возможности купить и пользоваться легальной копией, лучше отказаться от использования данной CMS, я не хочу выслушивать обвинения по небезопасности скрипта.

С уважением,

SoftNews Media Group

Комментарии

  1. eRED (Клиенты)

    19 января 2007 15:17 47 комментариев
    пользователи null версий, обратите внимание на последний абзац. оно вам нужно?
  2. misterRooT (Клиенты)

    19 января 2007 15:21 12 комментариев
    eRED, не остановит их это... аканомные, епт...
  3. Infernus (Клиенты)

    19 января 2007 19:35 63 комментария
    очень полезная статья, по крайней мере для меня! wink
  4. Sity (Посетители)

    19 января 2007 22:33 20 комментариев
    Большое спасибо за разъяснения!

    А то я сегодня опробовал новую версию,поставил все по-максимуму,а потом больше так и не смог войти в админ-панель! lol

    Прикольно получилось..
  5. Infernus (Клиенты)

    20 января 2007 12:50 63 комментария
    Sity, не ты один...
  6. celsoft (Администраторы)

    20 января 2007 13:17 4 031 комментарий
    Цитата: Sity
    А то я сегодня опробовал новую версию,поставил все по-максимуму,а потом больше так и не смог войти в админ-панель!

    Цитата: Infernus
    Sity, не ты один...

    Да забыл сказать что HTTP аутентификация (расширенный метод авторизации) может работать только в том случае если PHP установлен как модуль Apache, а не как cgi приложение, поэтому работать сможет не везде, поэтому и по умолчанию при установке скрипта оно отключено.
  7. Hi-Tech (Клиенты)

    20 января 2007 14:02 13 комментариев
    celsoft
    Спасибо за постоянную поддержку скрипта и статьи. love
  8. sheff (Посетители)

    20 января 2007 14:24 86 комментариев
    smile
  9. DDfans (Клиенты)

    20 января 2007 23:44 31 комментарий
    Лучше бы еще добавили, как аццесом блокировать доступ к админке, что так-же дополняет безопасность, а никак ее не уменьшает...
  10. celsoft (Администраторы)

    21 января 2007 01:05 4 031 комментарий
    Цитата: DDfans
    Лучше бы еще добавили, как аццесом блокировать доступ к админке, что так-же дополняет безопасность, а никак ее не уменьшает...

    Включите расширенную авторизацию в настройках и получите тот же эффект.
  11. 7777777 (Посетители)

    21 января 2007 11:48 7 комментариев
    Да, я согласен насчёт нуллов, сам проверял, пока не завалили сайт, теперь всё нормально wink
  12. skamer (Посетители)

    22 января 2007 01:55 11 комментариев
    спасибо за статью, полезная.
    а я вообще движок купил ради того чтоб дизайн продали.
    А еще на счет нуллов - что то они стали быстро выпускаться... скоро надеюсь не будет как у микрософта - еще винда не вышла, уже лежит на всем инете крякнутая и русифицированная lol
  13. Cap (Посетители)

    28 января 2007 05:25 1 комментарий
    misterRooT, я использую null версия только у себя на компе и только для теста и все! А то что люди не могут себе позволить, причин много!!!
  14. dimanger (Клиенты)

    2 февраля 2007 09:07 14 комментариев
    хе feel
  15. Shem (Посетители)

    14 февраля 2007 00:30 12 комментариев
    Cap, согласен, некоторое время на нуле сидел. Но если проект не безразличен, лучше уйти с нее на лицензию имхо
  16. repair (Посетители)

    10 августа 2008 13:24 1 комментарий
    А я нулл переделал под себя и купил лицензию.. Такой вот изврат.
  17. rege (Клиенты)

    12 февраля 2009 11:07 8 комментариев
    Заинтересовала блокировка по IP
    У моего провайдера несколько диапозонов.
    Например если указать:
    203.158.*.*; 100.256.*.*

    Так скрипт примет?

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Календарь

«    Март 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031

Опрос на сайте

Совершаете ли вы покупки в интернет?