/ / Безопасность, безопасность, безопасность ....
январь 19 2007

Безопасность, безопасность, безопасность ....

Уважаемые друзья!

Хотелось бы написать одну очень полезную статью, но не знаю с чего начать ... Начнем пожалуй с того, что я хочу рассказать вам безопасности скрипта и ваших сайтов, точнее о том как ее можно сделать максимально эффективной. Не все в полной мере владеют информацией о всех настройках скрипта и о том как их применять наиболее эффективо. Речь в этой статье пойдет о версии 5.3, так как именно в ней реализован полный спектр инструментов, исключающих манипуляцию с вашим сайтом.

Итак, помимо того в скрипте существуют пассивная система безопасности, котороя контролирует и фильтрует входящие данные, поступающие на сервер, в скрипте также заложены и элементы активной системы безопастности, уровень которых вы можете настроить с скрипте. Редактирование настроек безопасности находится в админпанеле Настройка системы -> Настройки безопасности скрипта

В первом пункте вы можете настроить Метод авторизации в админпанели, существует два типа авторизации: Стандартный и Расширенный. К работе стандартного режима вы уже все привыкли, вам достаточно авторизоваться где угодно на сайте и впоследствии вход в админпанель происходит автоматически с вашего компьютера. Расширенный метод полностью запрещает неавторизованный доступ к странице admin.php, до тех пор пока вы не введете логин и пароль, которые будут действительны на протяжении всей сессии, после закрытия браузера и повторного входа в админпанель, вам понадобится еще раз вводить свой логин и пароль. Для авторизации в админпанеле используется HTTP аутентификация, что очень надежно и позволяет вводит логин и пароль достаточно просто, либо просто одним шелчком мышки, если пароль сохранен в браузере. Данный расширенный метод исключает вход в вашу админпанель в случае если злоумышленником были украдены cookies с вашего копьютера.

Следующим пунктом в настройках идет Контроль изменения IP адреса, данная настройка позволяет контролировать изменился ли IP пользователя с момента его последней авторизации на сайте, если он изменился, то автоматическая авторизиция отключается и пользователю повторно необходимо ввести свой логин и пароль. Подождите, скажете вы, но есть же расширенный метод авторизации, зачем нужна эта настрока? Поясняю расширенный метод авторизации контролирует только админпанель, а контроль изменения IP адреса контролирует весь ваш сайт, сбрасывая авторизацию и непосредственно на сайте. При установке среднего уровня контроля, скрипт будет отслеживать только посетителей, которые имеют расширенные привилегии и имеют доступ к админпанели, высокий уровень контроля будет отслеживать всех зарегистрированных посетителей, независимо от их привилегий на сайте. Включение данной настройки, также делает бессмысленным кражу ваших куков, они не смогут работать на другом компьютере.

Следующей настройкой является Сброс ключа авторизации при каждом входе, в случае если вы включаете данную настройку, то при каждой успешной авторизации пользователя на сайте, скрипт будет генерировать уникальный ключ, и при авторизации на другом компьютере будет использовать уже другой уникальный ключ, тем самым более ранная авторизация на первом комьютере, становиться автоматически недействительной и работать больше не будет. Например вы зашли на свой сайт на чужом комьютере и впоследствии просто забыли сделать выход на своем сайте, вам достаточно зайти на свой сайт на другом комьютере, как оставленная вами авторизация у друга или в интернет кафе, станет автоматически недействительной.

Иногда случаются совсем критические случаи, одним из таких случаев является, то что злоумышленник элементарно знает ваш пароль, и казалось бы что против такого лома нет приема, но DataLife Engine способен с легкостью защитить вас и казалось бы такой критической ситуации. Вы можете установить разрешение на использование вашего логина только с определенного IP адреса или подсети. Для это вам достаточно зайти в ваш профиль на сайте и установить Блокировку по IP. Вы можете задать как ваш полный IP адрес, так и частичный. Например большинство людей имеет динамический IP адрес, который меняется при каждом входе в интернет. Но как правило провайдер обладает только определенным диапазоном IP адресов и первые цифры у него одинаковы всегда, и в вашем IP адресе меняются только последние две цифры. Например если вы устанавливаете блокировку по IP на адрес 203.158.*.* тем самым вы блокируете вход на ваш сайт если для выхода в интернет используется не ваш интернет провайдер. Диапазон ваших динамических адресов, вы можете узнать, осуществив несколько раз выход в интернет и посмотрев как изменился ваш адрес, либо просто уточнив этот момент у вашего интернет провайдера. В случае если у вас стоит блокировка по IP, вам нужно получить доступ к сайту совсем с другого места, то вам необходимо запросить восстановление пароля на E-mail, после подтверждения будет сброшен не только пароль, но и блокировка по IP адресу.

Итак подводя итоги данной статьи мы хотим порекомендовать вам использование следующих пунктов и настроек:

1. Метод авторизации в админпанели: Расширенный метод
2. Контроль изменения IP адреса: Средний
3. Установка блокировки по IP
4. Не использование украденных копий скрипта, иначе все статьи и рекомендации по безопасности становятся бесмысленными, 99% процентов взломанных копий скрипта несут в себе потайные входы на ваш сайт со стороны злоумышленников, причем это не наш призыв к покупке скрипта, а печальный анализ пиратских версий, это ведь сказывается на нашей репутации. Если нет возможности купить и пользоваться легальной копией, лучше отказаться от использования данной CMS, я не хочу выслушивать обвинения по небезопасности скрипта.

С уважением,

SoftNews Media Group

Комментарии

eRED

eRED

19 января 2007 15:17 Клиенты
1
пользователи null версий, обратите внимание на последний абзац. оно вам нужно?
misterRooT

misterRooT

19 января 2007 15:21 Клиенты
0
eRED, не остановит их это... аканомные, епт...
Infernus

Infernus

19 января 2007 19:35 Клиенты
0
очень полезная статья, по крайней мере для меня! wink
Sity

Sity

19 января 2007 22:33 Посетители
0
Большое спасибо за разъяснения!

А то я сегодня опробовал новую версию,поставил все по-максимуму,а потом больше так и не смог войти в админ-панель! lol

Прикольно получилось..
Infernus

Infernus

20 января 2007 12:50 Клиенты
0
Sity, не ты один...
celsoft

celsoft

20 января 2007 13:17 Администраторы
0
Цитата: Sity
А то я сегодня опробовал новую версию,поставил все по-максимуму,а потом больше так и не смог войти в админ-панель!

Цитата: Infernus
Sity, не ты один...

Да забыл сказать что HTTP аутентификация (расширенный метод авторизации) может работать только в том случае если PHP установлен как модуль Apache, а не как cgi приложение, поэтому работать сможет не везде, поэтому и по умолчанию при установке скрипта оно отключено.
Hi-Tech

Hi-Tech

20 января 2007 14:02 Клиенты
0
celsoft
Спасибо за постоянную поддержку скрипта и статьи. love
sheff

sheff

20 января 2007 14:24 Посетители
0
smile
DDfans

DDfans

20 января 2007 23:44 Клиенты
0
Лучше бы еще добавили, как аццесом блокировать доступ к админке, что так-же дополняет безопасность, а никак ее не уменьшает...
celsoft

celsoft

21 января 2007 01:05 Администраторы
0
Цитата: DDfans
Лучше бы еще добавили, как аццесом блокировать доступ к админке, что так-же дополняет безопасность, а никак ее не уменьшает...

Включите расширенную авторизацию в настройках и получите тот же эффект.
7777777

7777777

21 января 2007 11:48 Посетители
0
Да, я согласен насчёт нуллов, сам проверял, пока не завалили сайт, теперь всё нормально wink
skamer

skamer

22 января 2007 01:55 Посетители
0
спасибо за статью, полезная.
а я вообще движок купил ради того чтоб дизайн продали.
А еще на счет нуллов - что то они стали быстро выпускаться... скоро надеюсь не будет как у микрософта - еще винда не вышла, уже лежит на всем инете крякнутая и русифицированная lol
Cap

Cap

28 января 2007 05:25 Посетители
0
misterRooT, я использую null версия только у себя на компе и только для теста и все! А то что люди не могут себе позволить, причин много!!!
dimanger

dimanger

2 февраля 2007 09:07 Клиенты
0
хе feel
Shem

Shem

14 февраля 2007 00:30 Посетители
0
Cap, согласен, некоторое время на нуле сидел. Но если проект не безразличен, лучше уйти с нее на лицензию имхо
repair

repair

10 августа 2008 13:24 Посетители
0
А я нулл переделал под себя и купил лицензию.. Такой вот изврат.
rege

rege

12 февраля 2009 11:07 Клиенты
0
Заинтересовала блокировка по IP
У моего провайдера несколько диапозонов.
Например если указать:
203.158.*.*; 100.256.*.*

Так скрипт примет?

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Октябрь 2017    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
3031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Сентябрь 2017 (2)
Август 2017 (5)
Июль 2017 (1)
Июнь 2017 (1)
Апрель 2017 (3)
Март 2017 (2)