Главная | Топ серверов | Скины | Регистрация | Вход | English Version Приветствую Вас Гость | Показать правый блок
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
www.MyMuWeb.Ru - Форум » MyMuWeb » Баги, Ошибки » [bugs] Помогите (Админка)
[bugs] Помогите
backoneДата: Суббота, 25.06.2011, 11:02 | Сообщение # 1
Рядовой
Группа: Пользователи
Сообщений: 5
Репутация: 0
Статус: Оффлайн
Сегодня ночью парень как-то взломал в игре акк админа , после чего мне надо было зайти в xxx.xxx.xxx.xxx/admin.php зашел вписал акк пасс секюрити и выдало такое .
Помогите пожалуйста.

Добавлено (25.06.2011, 11:02)
---------------------------------------------
Тему можете удалить , сайт переинсталил и всё хорошо )

 
kRiakДата: Суббота, 25.06.2011, 12:20 | Сообщение # 2
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Репутация: 93
Статус: Оффлайн
старый, добрый совет...
удаляйте админку....
admin папку и admin.php удалять надо если руки из задницы. в крайнем случае нужно ставить все фиксы и security код надо таким ставить чтобы не догадался никто.


Бес.
 
YuraДата: Суббота, 25.06.2011, 17:57 | Сообщение # 3
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
kRiak, security code может узнать любой пользователь сайта <_< Зайди на ?op=user&u=gm ( как-то так)

////
 
YuraДата: Суббота, 25.06.2011, 18:58 | Сообщение # 4
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
Интересная проблема с доступом в админку. Неплохо бы исключить возможность угона доступа в админку при угоне пароля администратора от сервера.

Хорошо бы сделать доступ в админпанель независимой от аккаунта сервера, а допустим, через другую страницу-пул, после которой можно зайти в админку. И нельзя исключать возможность захода с разных компьютеров(случай динамического ипа админа) и нахождения не на локальном хосте.


////
 
kRiakДата: Суббота, 25.06.2011, 20:55 | Сообщение # 5
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Репутация: 93
Статус: Оффлайн
Quote (Yura)
Интересная проблема с доступом в админку. Неплохо бы исключить возможность угона доступа в админку при угоне пароля администратора от сервера. Хорошо бы сделать доступ в админпанель независимой от аккаунта сервера, а допустим, через другую страницу-пул, после которой можно зайти в админку. И нельзя исключать возможность захода с разных компьютеров(случай динамического ипа админа) и нахождения не на локальном хосте.

Просто тем кому не надо удаленно управлять чем либо..
Сделать возможность захода в админку только через 127.0.0.1..
Yura, Это возможно как нибудь сделать?


Бес.
 
YuraДата: Суббота, 25.06.2011, 21:31 | Сообщение # 6
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
Сделать доступ только по локалхосту - это конечно можно. Но есть случаи, когда сайт для админа не локален. Те же ГМы вообще пользователи. Делать доступ по ипу тоже затруднительно -- большая часть не имеет постоянного ипа.

Как идея, это исключить вообще получение пароля от админки, если даже угонят всю БД акков.
Допустим, работать по такой схеме:
пользователь заходит на admin.php, вводит даные спец ака,
admin.php обращается на специальный сайт-БД, где сервер отвечает - можно ли впустить этот акк или нет,
admin.php создает сессию для пользователя или же шлет в лес.

Из минусов:
- падает сервер -- доступ в админ панель пропадает, надо будет делать специальный режим с ухудшением безопасности
- при получении доступа к hosts файлу, можно будет подделать оффициальный сервер для проверки акков, а значит подделать и ответ сервера(впускать всегда в админку)

Плюсы:
- пароль можно узнать только на офф сервере, который будет хорошо защищен

Вообще же, если кто-то получил доступ к hosts, то там даже подделывать офф. сервер смысла нет - они имеют запись на файлы, они смогут и тупо удалить проверку всего этого сервера.

Оффициальный сервер -- это будет один сайт, который поднимет создатель аддона. Админы будут регать там свой сайт и акки.
При подключении к серверу со стороны админ панели, она будет отправлять акк и пароль, сервер возвращать ответ.
Значит все пароли храняться только на этом сайте, угнать их можно будет только оттуда.

Защита этого сайта уже должна быть серьезной, достигнуть ее наверно можно будет простотой реализации этого принципа аунтефикации. Никаких дополнительных опций и другого.

По сути не особо много задач поставлено, это вполне реализуемо. На первых этапах регистрация сайтов может проходить вручную, управление тоже.

Доверие своих акков от админки другому сайту? Это уже на ваше усмотрение. Храните пароли у себя и боитесь взлома, или же храните пароли на другом сервере.

Ясен пень, что БД на сервере будет не в откртую, а с MD5.


////

Сообщение отредактировал Yura - Суббота, 25.06.2011, 21:37
 
kRiakДата: Воскресенье, 26.06.2011, 02:49 | Сообщение # 7
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Репутация: 93
Статус: Оффлайн
Quote (Yura)
kRiak, security code может узнать любой пользователь сайта dry Зайди на ?op=user&u=gm ( как-то так)

- Так, к слову.. gm.php нафик нужен? я лично его тоже удалил biggrin


Бес.
 
SanneAДата: Вторник, 28.06.2011, 12:54 | Сообщение # 8
Генерал-майор
Группа: Модераторы
Сообщений: 358
Репутация: 166
Статус: Оффлайн
Зачем? а если гм хочет кого забанить а ты не хочешь пускать его в админку... surprised
Нужно просто удалить
Code
<?echo $mmw[admin_securitycode];?>
из gm.php и поставить что то вроде
Code
***


 
VaflanДата: Вторник, 28.06.2011, 17:56 | Сообщение # 9
Генералиссимус
Группа: Администратор
Сообщений: 458
Репутация: 220
Статус: Оффлайн
kRiak, а чего ты себя не удалишь? нафик нужен, с таким успехом и сайт нафик не нужен.



 
YuraДата: Вторник, 28.06.2011, 18:09 | Сообщение # 10
Генерал-майор
Группа: Проверенные
Сообщений: 176
Репутация: 52
Статус: Оффлайн
Vaflan, не все пользуются этим модулем, так что не обобщай.

////
 
vr-frostДата: Вторник, 28.06.2011, 20:29 | Сообщение # 11
Лейтенант
Группа: Пользователи
Сообщений: 26
Репутация: 0
Статус: Оффлайн
Да блин всего не предусмотришь... wacko
А вот доступ к админке только с определенного ИП, который задается в настройках - было бы полезно smile


XD
 
kRiakДата: Среда, 29.06.2011, 01:26 | Сообщение # 12
Генерал-лейтенант
Группа: Проверенные
Сообщений: 615
Репутация: 93
Статус: Оффлайн
Quote (Vaflan)
kRiak, а чего ты себя не удалишь? нафик нужен, с таким успехом и сайт нафик не нужен.

Не ругайся.
Понятно для некоторых это полезно.
Просто мне нет.
Т.к. я никому не хочу давать подобный доступ к сайту. Мне хватает меня на все и мумекера. happy
+ когда была проблема с такой темой:
"При заходе с любого акк в меню был доступ к gm.php... и могли делать все что хотят..."
Поэтому пришлось удалить...


Бес.
 
www.MyMuWeb.Ru - Форум » MyMuWeb » Баги, Ошибки » [bugs] Помогите (Админка)
  • Страница 1 из 1
  • 1
Поиск:

This page is designed to be viewed best with Chrome. Home Page MyMuWeb By TFU.LV. Хостинг от uCoz.