Центр пользователя  |  Ваши сообщения  |  FAQ
Форум поддержки phpBB » phpBB » Обсуждение phpBB

Защита форума от взлома

Общение на любые темы о форуме и движении phpBB

Сообщение 04 окт 2012, 11:03

Aleksey писал(а):Интересно, а где этот модуль mod_auth_digest скачать можно ? Я все хочу себе второй тип аутентификации установить - более продвинутый так сказать

на сайте апача.
Aleksey писал(а):Например для входа в phpmyadmin (стандартная авторизация - без помощи .htaccess) - я использовал пароль в 100 символов.

стандартная авторизация в phpmyadmin насколько я помню использует логин/пароль от базы данных. У вас пароль к базе 100 символов?
Aleksey писал(а):Если ещё и воспользоваться волшебным файлом .htaccess и сделать через него авторизацию по паролю в 100 символов, думаю это будет 99% защита от взлома

честно скажу, я бы запарился его вводить это первое. Да и лично по-моему мнению не эффективно это.
потом дальше
When using the crypt() algorithm, note that only the first 8 characters of the password are used to form the password. If the supplied password is longer, the extra characters will be silently discarded.

в данном случае написано, что при использовании crypt() делай пароль хоть из миллиона символов, проверка будет только первых 8.
Ну и
Aleksey писал(а):Интересно есть ли ограничения на длину пароля ?

On the Windows and MPE platforms, passwords encrypted with htpasswd are limited to no more than 255 characters in length. Longer passwords will be truncated to 255 characters.

The MD5 algorithm used by htpasswd is specific to the Apache software; passwords encrypted using it will not be usable with other Web servers.

Usernames are limited to 255 bytes and may not include the character :.

Насчет
Aleksey писал(а):Если ещё и воспользоваться волшебным файлом .htaccess и сделать через него авторизацию по паролю в 100 символов, думаю это будет 99% защита от взлома.

могу только сказать, а может сделать своему пользователю пароль в 100 символов и не париться с .htaccess? Как мне кажется у вас слишком высокое доверие к файлу .htaccess, вы его прям ставите превыше всего. Но если вас захотят поломать, то данный файл будет не очень сильным препятствием, как мне кажется. Если хотите жестко ограничить доступ, то лучше по ip адресу, если конечно вы все время с одного адреса заходите.

Как по мне то любой дополнительный ввод пароля это лишний геморрой, особенно если без этого можно безболезненно обойтись
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 04 окт 2012, 11:49

Да, у меня пароль к phpmyadmin в 100 символов. Так вы говорите, что при использовании файла .htaccess (при установке пароля на директорию) - проверяются только первые 8 символов и длина пароля по большом счету не имеет значения ? А если просто установить пароль на phpmyadmin в 100 символов к примеру (без .htaccess), то там полностью пароль проверяется ? По поводу ввода длинного пароля: я храню все пароли в текстовых документах и просто копирую и вставляю пароли в окна авторизации и все. Получается .htaccess не такая надежная защита ? По остальным вопросам мне все ясно. А вот про что вы говорили: "сделать пароль своему пользователю в 100 символов" - вы имели в виду когда создаешь пользователя для базы данных в phpmyadmin - вы этот пароль имели в виду ? Но ведь пароль к базе данных тоже имеет значение (при входе в phpmyadmin) ? Если стандартные средства лучше (установка длинного пароля на базу данных и при создании пользователя к этой базе данных) может тогда ими пользоваться а файл .htaccess использовать для дополнительной защиты, но не использовать длинные пароли (если там действительно только первые 8 символов проверяются). Может есть какие то настройки - для того чтобы весь пароль проверялся ?
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 04 окт 2012, 12:04

Aleksey писал(а):Так вы говорите, что при использовании файла .htaccess (при установке пароля на директорию) - проверяются только первые 8 символов и длина пароля по большом счету не имеет значения ?

вы не читаете мое сообщение. Я говорю что при использовании шифрования crypt() используется только 8 символов, но при использовании md5 длина больше. Я даже привел вырезку из доки. Даже это не я говорю, а разработчики веб сервера apach.
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 04 окт 2012, 12:12

Aleksey писал(а):Получается .htaccess не такая надежная защита ?

не бывает надежных защит. все что сделал человек, он же и поломает. Я говорю, что не надо идеализировать файл .htaccess.
Aleksey писал(а):я храню все пароли в текстовых документах и просто копирую и вставляю пароли в окна авторизации и все

ну тогда вам еще надо обезопасить и данный файл, ведь мало ли чего.
Aleksey писал(а):А вот про что вы говорили: "сделать пароль своему пользователю в 100 символов" - вы имели в виду когда создаешь пользователя для базы данных в phpmyadmin - вы этот пароль имели в виду ?

я имел ввиду пароль к пользователю не важно какому. Администратор форума, phpmyadmin или что-то другое.
Aleksey писал(а):а файл .htaccess использовать для дополнительной защиты, но не использовать длинные пароли (если там действительно только первые 8 символов проверяются)

вы читайте внимательно, я даже оригинал сообщений привожу. Ответ я дал выше по поводу 8 символов.
Aleksey писал(а):Может есть какие то настройки - для того чтобы весь пароль проверялся ?

использовать шифрование не crypt(), а md5
Aleksey писал(а):Если стандартные средства лучше (установка длинного пароля на базу данных и при создании пользователя к этой базе данных) может тогда ими пользоваться а файл .htaccess использовать для дополнительной защиты

можно использовать все. Но как показывает практика, то не любят пользователи например лишние проверки. Некоторые просят убрать при регистрации второй ввод почтового ящика. Если у вас нормальный пароль у пользователя и вы все равно хотите ограничить доступ, то ради бога, сделайте через .htaccess. Но если при этом вы входите например все время с одного адреса, то смысл задавать пароль второй, если можно просто ограничить доступ в папку по ip?
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 04 окт 2012, 12:16

crash писал(а):
Aleksey писал(а):Так вы говорите, что при использовании файла .htaccess (при установке пароля на директорию) - проверяются только первые 8 символов и длина пароля по большом счету не имеет значения ?

вы не читаете мое сообщение. Я говорю что при использовании шифрования crypt() используется только 8 символов, но при использовании md5 длина больше. Я даже привел вырезку из доки. Даже это не я говорю, а разработчики веб сервера apach.


Я читаю ваши сообщения, просто я не совсем понимаю в методах шифрования (crypt() и md5). Получается если я правильно понял, то для Windows можно задавать любую длину пароля в файле .htpasswd и пароль полностью будет проверяться ? Читал ваше сообщение выше и хочу спросить - можете помочь тогда по IP ограничить доступ ?
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 04 окт 2012, 12:22

Aleksey писал(а):Получается если я правильно понял, то для Windows можно задавать любую длину пароля в файле .htpasswd и пароль полностью будет проверяться ?

не больше 255 символов
Aleksey писал(а):можете помочь тогда по IP ограничить доступ ?

например так
Order Deny,Allow
# запрет для всех на доступ к ресурсу
Deny from all

# разрешаем только следующим
Allow from ваш_ip
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 04 окт 2012, 12:27

crash писал(а):
Aleksey писал(а):можете помочь тогда по IP ограничить доступ ?

например так
Order Deny,Allow
# запрет для всех на доступ к ресурсу
Deny from all

# разрешаем только следующим
Allow from ваш_ip


А вот эти строки обязательны (# запрет для всех на доступ к ресурсу # разрешаем только следующим) или это вы мне просто для пояснения написали ?

В этой директиве Allow from - вводил 127.0.0.1 (локальный IP), также свой внешний IP вводил - но все равно 500 ошибка вылазит, я же захожу на сервера со своего компьютера - даже без подключения интернета - как можно проверить (настроить чтобы все работало правильно).
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 04 окт 2012, 12:30

Aleksey писал(а):или это вы мне просто для пояснения написали ?

просто пояснение, комментарий. Можете их удалить.
Aleksey писал(а):о все равно 500 ошибка вылазит

надо смотреть настройки самого сервера апача тогда, логи его, чтобы понять из-за чего ошибка 500 вылазит
crash
Поддержка
 
Сообщений: 11349
Зарегистрирован:
27 янв 2009, 03:22
Благодарил (а): 1 раз.
Поблагодарили: 568 раз.

Сообщение 04 окт 2012, 12:38

Я захожу на свой сайт вот как (см.фото). Сначала появляется страница сервера (утилиты там и т.д.) - потом после своего локального IP в строке браузера добавляю название своего сайта и тогда перехожу на сайт (форум). А что бы сайт был виден в интернете - подставляю внешний IP вместо 127.0.0.1
Вложения
1.jpg
1.jpg (49.94 KiB) Просмотров: 1050
2.jpg
3.jpg
Последний раз редактировалось Aleksey 04 окт 2012, 12:52, всего редактировалось 2 раз(а).
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.

Сообщение 04 окт 2012, 12:41

crash писал(а):надо смотреть настройки самого сервера апача тогда, логи его, чтобы понять из-за чего ошибка 500 вылазит


А вы не подскажите - где логи сервера смотреть и его настройки ? Предыдущее сообщение выложил на всякий случай - может где то я что то не так делаю.
Последний раз редактировалось Aleksey 04 окт 2012, 12:45, всего редактировалось 1 раз.
Aleksey
Активный участник
 
Сообщений: 66
Зарегистрирован:
20 сен 2012, 10:34
Благодарил (а): 23 раз.
Поблагодарили: 0 раз.


Вернуться в Обсуждение phpBB

 


  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

Форум поддержки phpBB
2008 - 2017 © BB3x.ru - русская поддержка форума phpBB3
Создано на основе phpBB® Forum Software © phpBB Group
+ 17 предустановленных модов
+ SEO-оптимизация форума
+ авторизация через соц. сети
+ защита от спама