Система безопасности Инстанта - Защита форм регистрации и авторизации

+17
3.93K
Версия 1
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте www.aviakis.net.ru.

Вот некоторые (но не все) характеристики:

1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.



Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах… Короче, кому хочется, эту старую тему сами ищите.

Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.



В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.

Посмотреть скрипты в работе можно, как я сказала, на демосайте www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.

Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.

Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили — получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.

Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.

Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.

Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.

Брутфорсте на здоровье)))

Светлана.
0
neart neart 14 лет назад #
Огромный респект - мегаполезная весчь:)
0
neart neart 14 лет назад #
feba7:
Версия 2
Во второй версии модуль авторизации перезагружается...
Еще один мегареспектище:)
Не за аякс, разумеется, а за позитивное развитие крайне полезного начинания.
0
14 лет назад #
Все классно во только когда тебя сразу блокирует система на 2 минуты, пропадает желание сразу же посещать сайт.
0
neart neart 14 лет назад #
ИМХО, нужно дать хотя бы 2 попытки подряд на авторизацию, а затем устанавливать интервал времени на доступ. Если не лень возиться, с точки зрения юзабилити было бы гораздо круче, если бы страницу не приходилось обновлять, а ссылка на авторизацию появлялась автоматически по прошествии нужного тайму.
0
14 лет назад #
ну отсутствие линка, реально это полбеды, ибо система открытая и прогнать поиск, скрипта авторизации не сложно, есть один моментик, который Светланка, пока не до закрыла, а так что могу сказать, снимаю шляпу сделано прикольно просто и лаконично!. простой дурачек возомнивший себя хакером будет отважен от сайта.
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Постараюсь сделать автоматическое обновление формы авторизации на аяксе в ближайшем будущем. Меня в первую очередь интересовал алгоритм защиты, а не финтифлюшки.

Что касается одной или двух или трех попыток - это все легко настраивается. Равно как и время задержки. Я просто выставила от балды, хотя каждый админ сможет сделать все это, как ему нравится - хочет 3 секунды, хочет - 3 года....
0
14 лет назад #
и еще если человек реально начал брутфорсить после 5 попыток вроде ему таймаут в 30 минут, правда после 30 минут уже и нормальный пароль вызывает таймаут на 30 минут! следовательно если, брутить будут масштабно это вызовет полный отказа от признания нормальных паролей от правильных логинов.
0
mihalich mihalich 14 лет назад #
Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек.
А далее следующее
Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.
Я не программер мне просто интересен человеческий фактор по которому отбирается чел, которому можно скинуть а которому нет.
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?
0
14 лет назад #
Михалыч ты спортил мне весь кайф!
0
14 лет назад #
что мешает тому же человеку попросить у Вас дороботку и распотрошить?
Точно. Налицо перебор конспирации 8))
0
14 лет назад #
Все верно, социнженерия рулит.
И кто захочет достанет скрипт и "распотрошит".

Но думаю, те кто способны это сделать не станут биться головой о дверь т.е. брутфорсить,
а влезут в окно.
Взять туже историю о которой напомнила Светлана,
из нескольких способов взлома ни один не был через админку.

P.S. А вообще я за открытые системы, как более надежные. )
0
Anonimus Anonimus 14 лет назад #
mihalich:
Я не программер мне просто интересен человеческий фактор по которому отбирается чел, которому можно скинуть а которому нет.
Проще говоря, что мешает тому же человеку попросить у Вас дороботку и распотрошить?

женская логика порой не понятна мужчинам..))
0
14 лет назад #
Ай, молодца!
0
Виктор Виктор 14 лет назад #
Светлана - ты молодец! Подняла эту тему и предложила свои наработки.
Маленький вопрос по пункту 1:
1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
Так вот сам вопрос - блокируется по ip? Это значит, что если атакующий (или просто забывчивый посетитель) из сетки (а у нас например, полгорода в одной сетке сидят и полгорода в другой, ну полгорода конечно грубо, но эти два по полгорода наверно процентов не меньше 80 инетчиков). Вернусь к вопросу, так вот один такой "товарисчь" заблокирует доступ к сайту для всех пользователей своей сетки - что есть не совсем "айс".
В целях конспирации не обязательно отвечать именно здесь - можно в личку написать smile.
Предлагаю провести обсуждение алгоритмов защиты инстанты. Как говорится "одна голова хорошо, а две лучше". Не думаю, что для этого нужно сильно прятаться - кто захочет всё равно сможет найти исходники - просто нужно по-максимуму осложнить жизнь атакующему, но не в ущерб обычным посетителям сайта.
0
Anonimus Anonimus 14 лет назад #
в этом плане, блокировка по IP, совсем не айс, а если учесть, что хаккер может менять IP сколько угодно раз, и стой частото, как ему угодно, то блокировка по IP добавить гемороя лишь для обычных юзеров
+1
InstantCMS InstantCMS 14 лет назад #
нужно блокировать не на стороне клиента, а на стороне сервера
т.е. запрещать вход с этим логином на некоторое время
-1
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
на серверной стороне и реализовано
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Виктор, когда я писала алгоритм, я держала в голове проблему, которую ты изложил. Могу тебе сказать, что заложила регулировку, позволяющую нескольким разным юзерам иметь одинаковый ip. Регулировку выполняет админ сайта. В этом случае алгоритм несколько меняется для этого ip, но принцип остается прежним. Короче, не переживай по этому поводу.
0
Виктор Виктор 14 лет назад #
Я бы предложил в тему ещё вот что:
- во-первых, на экране регистрации сделать проверку на длину пароля и на количество повторяющихся букв и на наличие букв разного регистра. Хакер изначально зная, что минимальная длина пароля, скажем 8 символов и в нём есть цифры и буквы разного регистра плюс задержки через каждые 3 подбора, то и не будет затевать брутфорс.
- во-вторых, я изначально выступал против выставления напоказ логинов пользователей сайта и сейчас ещё раз кину камень в этот огород. Раз уж так хочется, то ввести при регистрации ещё один параметр, "Название домашней папки" которое и будет светиться в пути http:/mybestsite.ru/user/HomePage, а логин убрать с глаз долой.
Но понятное дело - это не к тебе Света, это к разработчикам.
0
Anonimus Anonimus 14 лет назад #
ну эта тема поднималась не раз вроде
а вообще создайте тикет в багтрекере
0
14 лет назад #
Виктор:
http:/mybestsite.ru/user/HomePage
А если еще убрать промежуточное USER и сделать http:/mybestsite.ru/HomePage, то стало бы солиднее.
0
Виктор Виктор 14 лет назад #
Как по мне, так это всё от лукавого.
Смотрим соцмэтров и что мы видим - тю, ...., блин, ..., совсем не солидно, лажа, отстой и т.д.
Не этим нужно брать.
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Всем кто интересуется.

Я сегодня с утречка немного причесала свои файлы. Кое-где чуточку изменила алгоритм (теперь при проверке пароля обрабатываются и Qwerty и qwerty - вчера забыла это сделать и Qwerty или qwErTy могли оказаться валидными паролями - сегодня уже нет)...ну, и еще кое-где.

Самое главное - теперь страница перегружается автоматически (как и просил neart). Сделано это на скорую руку и проверялось мной в Опере. Плиз, посмотрите другими браузерами.

Всех пользователей, кто зарегился до сегодня, 15 мск, я удалила. Заодно уменьшила время задержки, чтобы вы не позасыпали. Пробуйте зарегится сначала и брутфорсить не забывайте.

Виктору. Спасибо тебе, милый, за поддержку и понимание. На экране регистрации в случае ввода числа символов меньше установленного (сейчас 5) выскочит то самое предупреждение, о котором ты говоришь. К сожалению, минимальное и максимальное число символов сейчас не регулируется, а выставляется при редактировании скрипта. В принципе, немного повозившись, можно вынести это в регулировки, только нужно ли? Вряд ли админ сайта будет каждый день менять длину паролей)))))).

Что касается выставления логинов напоказ в адресной строке - полностью с тобой согласна, но в те механизмы я не лазила....может, когда совсем делать будет нечего)))
0
lezginka.ru lezginka.ru 14 лет назад #
после сообщил :
Вы совершили ошибку при вводе логина и пароля.... ит.д.
и завис сайта.
---------------
у меня мозила(может это мои проблемы, не знаю, но сайт перестал показывать ввод логина)
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
спасибо за сообщение. сейчас протестирую лисой. у меня ведь опера.
0
Anonimus Anonimus 14 лет назад #
защита от брутфорса не спасает
хоть забрутфорсся rofl
0
Anonimus Anonimus 14 лет назад #
защита на дурака, притом абсолютного
человек с мозгами и ничего не смыслящий в хакерстве додумается в 5 секунд как обойти вашу защиту
лично я не хакер))
0
Anonimus Anonimus 14 лет назад #
минус за обиду на то что правда про защиту сказана? )))
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Проблему подтверждаю. Лис постоянно пытается с сайтом соединится по истечении обратного отсчета. Опера возвращает сразу.
Спасибо!

Буду думать, как переписать js. Проблема наверняка в нем, потому что писалось на скорую руку.
0
Anonimus Anonimus 14 лет назад #
ладно, раз феба не снизойдёт до разговора со мной, расскажу как обходится защита

в общем вводим логи и не верный пароль
система нас посылает
но мы вводим упорно дальше
система нас посылает, но между посылами заставляет ждать всё больше и больше времени
посылает до тех пор пока не выскочит страшная табличка, что вы заблокированы!
страница перезагружается и чёрт подери, пропадает форма авторизации

да ну и фиг с ней
меняем IP
и повторяем заново перебор пароля
но мы не ждём когда страница с предупреждением о не верном пароле, будет перезагружаться, а тупо жмём стрелку броузера "назад"
в итоге нам пофигу на фремя ожидания
потом нам пофигу на все страшные таблички о блокировке
но опять же главное чтобы страница не сама вернулась на главную, а после каждой попытки мы сами её возвращали стрелкой "вернутся назад" в меню броузера....

а теперь случилось страшное и мы проморгали момент редиректа на главную
ситема сама нас туда пребросила и о ужас, опять нет формы ввода пароля
да ну и фиг с ней
мы вводим в строке броузера , находясь на сайте разумеется
Код PHP:
javascript:auth()
и о чудо!!!
выводится опять форма авторизации!

ну вот вам простор для фантазии
как предотвратить проход по этим тропинкам
0
Anonimus Anonimus 14 лет назад #
ну первое это удалить форму авторизации, из шаблона, которая выводится кликом ссылки авторизация , что находится в самом верху, или заблокировать её появление, после блокировки IP

второе , это сделать реальную блокировку пользователя, которого брутфорсят, но как сами понимаете, это не есть хорошо

успехов вам

ну а вообще самая лучшая защита от брутфорса, это пароль типа такого "iuuUT^&6gn^Y)*&R^%Ffhdgd(&E^*&f35g46uyRdcy"
0
InstantCMS InstantCMS 14 лет назад #
вот об этом то я и писал выше, когда говорил что нужно блокировать логин, а не ip-адреса
любая блокировка клиента обходится на раз
0
14 лет назад #
Гадкий ай ты и шаман! а говоришь не хакер! я не стал вчера про это писать чтобы не обидеть Светланку, просто написал

"есть один моментик, который Светланка, пока не до закрыла,"

в ты вщял и разболтал как сломать ее игрушку. Однозначна "ГАДКИЙ"!
0
14 лет назад #
ну да а еще можно раз уже разболтал! просто генерировать запрос с параметрами логин и пароля! и действием логин эффект примерно такой же!, а если еще сделать глобальный перебор IP то можно просто завалить полностью сайт в плане авторизации и тем самым нанести вред его посещению.
0
Anonimus Anonimus 14 лет назад #
ага, лично дав засранцам инструмент , для нанесения вреда сайту
0
Fuze Fuze 14 лет назад #
iptables -A INPUT -p tcp -m tcp -m connlimit --dport 80 -j REJECT --connlimit-above 10 --connlimit-mask 32

и вся любовь)
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Я, когда закончила девятый класс, увязалась за папой (он летел в командировку по своим делам). Летели мы на вертолете Ми-8, летели долго. Эта машина летит со скоростью 200-220 км/ч, вся гудит, трясется, виляет хвостом - короче, очень прикольно после самолета.
Прилетели мы в какую-то танковую часть. У них там страшная глушь и скука. Прилетел вертолет - Событие с большой буквы. Пока правак бегал в диспетчерскую подавать заявку на завтра, командир выясняет у местных о гостинице, борттехник дядя Саша чехлит борт, закрывает заглушками воздухозаборники, швартует лопасти....ну, короче, как обычно.
К нам подваливает группа танкистов во главе с майором и просят посмотреть технику. Бортач кивает и продолжает заниматься свими делами. Танкисты долго осматривают борт, издают разные восклицания и междометия. Потом майор обращается к дяде Саше с интересным заявлением:
- Я все понимаю. Я понимаю, как вертолет летит. Я понимаю, как он висит. Но я не понимаю, как он без кардана по земле ездит.
По лицам танкистов видно, что именно этот вопрос их интересует больше всего. А надо сказать, дяда Саша у нас в гарнизоне славился как человек с юмором. Он смотрит так на майора и говорит на полном серьезе:
- Как это без кардана? Кардан на вертолете есть!
Естественно, на лицах танкистов недоверие. Они сами только что заглядывали вертолету под колеса и ничего не увидели. Носовое колесо там самоустанавливающееся, а основные стойки шасси пирамидального типа - хорошо видно, что кроме полуоси и подкоса (которые одновременно являются баллонами высокого давления laugh) там ничего нет.
Дядя Саша берет отвертку и приглашает всех желающих по одному подняться наверх, под самый несущий винт. Открывает им лючок и предлагает в него заглянуть.
Каждый, кто заглядывает, отшатывается, и спускается с вертолета с совершенно дикими глазами. Я тоже залезла посмотрела - да, карданный вал - с крестовинами, шарнирами Гука и всеми атрибутами. Танкисты как были с оловянными глазами, так и разошлись.
Я у дяди Саши спрашиваю:
- А почему этот кардан так высоко?
А он мне отвечает:
- Понимаешь, Свет, через этот вал от главного редуктора вентиллятор охлаждения двигателей приводится во вращение...
- А как же вертолет по земле рулит?
- Так за счет тяги винта...

Кстати, теперь-то я знаю, что вертолет рулит даже двумя способами: "на ручке" и на "шаге" crazy

Мораль сей басни такова: прежде чем становиться в позу, и заявлять, цитирую:"защита на дурака, притом абсолютного" нужно спросить себя - уж не кардан ли я здесь искал?

Я могу сказать, что искал мой друг в моих файлах. Он пытался подобрать пароль к логину, который состоит из пустого стринга. А потом у него, видимо, айпишники кончились.

Но!Представить себе юзера, который залогиниться на сайте под пустым стрингом, признаюсь, я не смогла, когда обдумывала алгоритм защиты три месяца назад...Да и сейчас не могу.
0
lezginka.ru lezginka.ru 14 лет назад #
maxisoft, fuze[drums], Гадкий- вы бы помогли feba7, хотя бы дельным советом.
ведь проблема безопасности для чайников становится все критичней, кроме нее никто этого не делает.
0
14 лет назад #
Сорри я помогать не буду, ибо это камень преткновения, по мнению Светланки я ее оскорбил аналогичным постом, в свое время! поэтому в данную тему я стараюсь влазить очень осторожно!
0
neart neart 14 лет назад #
Дык трындеть, ведь, не мешки ворочать. Помощников здесь редко когда докричишься (за исключением тех, кого по пальцам посчитать можно), а как обосрать что-то - так завсегда очередь.
0
Fuze Fuze 14 лет назад #
ды а что помочь то??

а по поводу системы безопасности могу сказать одно:
1. Кто хостится - требовать от хостера хотя бы элементарных средств защиты.
2. Выставлять ПРАВИЛЬНЫЕ права на папки и файлы, т.к. права 777 на все ни к чему хорошему не приводят, а так же правильные владельцы файлов и каталогов. Ибо если владелец файла пользователь под которым работает веб сервер это по меньшей мере не гуд.
3. Защищать админку нормально, лучше выносить ее на поддомен, пароли нормальные, хтаксцесс и т.п.
4. Удалять не используемы компоненты, удалять ненужные строки в хтаксцесс.
5. Менять префикс таблиц.
6. На рабочем сайте отключать все сообщения об ошибках майскуэл и иже с ним.
7. 403 и 404 ошибки хотябы - делать перенаправление.
0
lezginka.ru lezginka.ru 14 лет назад #
fuze[drums], чуствуется почерк бывшего(а может и не бывшего) хакера :)
--------
а теперь для чайников, хотя бы элементарные вещи - на ПРИМЕРАХ, плиз ?
0
Fuze Fuze 14 лет назад #
насчет хакера ты явно погорячился)))
я скорее любитель дилетант.

на самом деле гугл на запрос безопасность сайта/безопасность веб сервера выдает ОГРОМНОЕ количество инфы.

к тому же я в предыдущем посте все написал вроде ж. что там может быть непонятно? все что я написал обсуждалось в том числе и на этом сайте. Попробуйте сами погуглить разобраться, вникнуть, т.к. не понимая что и зачем делаешь толку не будет, проверено!
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Дорогой друг, он и так тебе сказал элементарные вещи.....Все перечисленное нужно делать всегда и независимо от того, есть у тебя Система защиты или нет.....Это как не забыть положить в каждую папку пустой файл index.html....
0
Сергей Сергей 14 лет назад #
Молодец !!!
0
Anubis Anubis 14 лет назад #
Это защита для... девочек.


Код PHP:

		<td class="moduletitle">
			Авторизация
					</td>
	</tr>

		<tr>
		<td class="modulebody">
			<link rel="stylesheet" href="/modules/mod_auth/css/mod_auth.css" type="text/css" media="screen"><script type="text/javascript" src="/includes/jquery/jquery.js"></script><form action="/modules/mod_auth/js/timer.js" method="POST" name="formName"><input name="delay" value="12" type="hidden"></form><script src="/modules/mod_auth/js/timer.js" type="text/javascript"></script><div id="answer">	
			<p class="reply">Вы совершили ошибку при вводе логина и пароля.<br></p>
			<p class="reply">Проверьте язык ввода. <br></p>
			<p class="reply">Проверьте, не была ли нажата клавиша Caps Lock.<br></p>
			<p class="reply">Форма авторизации откроется автоматически через <span id="counter">8</span>&nbsp;секунд.<br> </p>

			<p class="reply">Если Вы забыли свой пароль, обратитесь к администратору сайта для его восстановления.</p>
			</div><div id="form">			<form action="/login" method="post" name="authform" style="margin: 0px;" target="_self" id="authform">
			  <table class="authtable" border="0" cellpadding="2" cellspacing="0" width="100%">
				<tbody><tr>
				  <td width="86">Логин:</td>
				  <td width="917"><input name="login" id="login" size="15" type="text"></td>
				</tr>

				<tr>
				  <td height="30" valign="top">Пароль:</td>
				  <td valign="top"><input name="pass" id="pass" size="15" type="password"></td>
				</tr>
				<tr>
				  <td colspan="2" align="right" height="27" valign="top"><table border="0" cellpadding="4" cellspacing="0" width="100%">
                    <tbody><tr style="font-size: 10px;">
                      <td width="13%"><input style="width: 60px;" name="Submit" value="Вход" type="submit"></td>

                      <td align="right" width="87%">
                       					    <input name="remember" id="remember" value="1" type="checkbox">
						Запомнить<br>							                      <a href="/0/passremind.html">Забыли пароль?</a></td>
	 				                       </tr>
                  </tbody></table></td>
			    </tr>
			  </tbody></table>

			</form>
		</div>
		</td>


0
Anubis Anubis 14 лет назад #
Звучит гордо - антибрутфорс, Система безопасности, Защита ))) а на деле закрываем лицо трусами
0
neart neart 14 лет назад #
Простите, а у Вас есть решение лучше? Поделитесь? Вы, ведь, наверняка, мегагуру систем защиты веб-приложений, раз такие коменты пишите? Блесните недюжинным умищем, завалите нас сверхгениальными решениями.
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Да уж, хакерство потрясающее)))Давно так не смеялась. Привел код, который попадает в браузер клиента и думает, что сломал сервер.

Кардан +1.

Я не утверждаю, что полностью обезопасила Инстант - не та у меня квалификация. Но от школьника, который скачал брутфорс, написаный умными дядями, сейчас формы авторизации мной все-таки защищены. Другая задача и не ставилась.

А в стандартном Инстанте, простите сейчас, что? Чистое поле! Проходи кто хочет. А я хоть заборчик поставила. На котором трусы сушатся.
0
Anonimus Anonimus 14 лет назад #
Опять расписывать не буду ничего, но по прежнему можно зайти через всплывающее окно авторизации
феба, ты его либо убирай, либо блокируй так же
0
Димаха Димаха 14 лет назад #
Безопасность сайта вещь хорошая. Но при переходе по http://www.aviakis.net.ru касперский лаять начинает почему то. Может я чего то не понимаю? Может это и есть защита?
0
Светлана Кондратьева ✝️ Светлана Кондратьева ✝️ 14 лет назад #
Не знаю, Дима, почему Касперский ругается, видимо, пугается погрузки в браузер джаваскриптов. У меня каспер на мой сайт не ругается). Вы, видимо, его на максимальную защиту поставили, вот он и собственной тени боится. Уверяю вас, демо сайт - это стандартный дистрибутив Инстанта плюс несколько моих файлов. Я себе поставила задачу предоставить админу сайта инстумент для обнаружения брутфорса, если таковой будет, и эта задача выполнена.
0
Rich Rich 14 лет назад #
Я конечно профан полный в этой теме, но спрошу...
А можно ли просто переименовать папку admin , много проблем сразу отпадет.
0
vadimry vadimry 11 лет назад #
а не проще сменить папку админа? как эжто делают все нормальные цмс? admin + случайное число

Еще от автора

Модификация дампера SupexDumper и причины, побудившие это сделать.
ВВЕДЕНИЕ Я решила исследовать неплохой (по отзывам) дампер SypexDumperLite_108. Скачала тут, поставила - работает. Кажется, что еще надо?
Анонс для каждой записи Универсального Каталога версии 1.6.1
Представляю простенький хак для Универсального Каталога. Анонс представляет собой дополнительное поле, в которое выводится описание, например, книги.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.