Как защитить форум от взлома?

[sanches36]

прячет файл admin.php

[.to4ka]

хмммм это я понял

как бы получаетца что админа точка пехепэ нет(то есть по прежней сслылке уже не войти) а есть другой файл-просто мне как не знающему php не понятно было,да и сейчас в принципе-если просто переименовать админку и зайти по ней-как введешь пароль то выкинет на страничку 404,а если по новому имени то гуд...редирект типа все дела.Так а почему если просто переименовываешь ни пройдет?

[Чёртос-2]

А практически, когда я поменял пароль на 30 значный, мне при заходе вылетело то что пароль слишком длинный, пришлось востанавливать на 12 значный.

Это уже форум специально делает. В версиях вплоть до 2.0 включительно длина пароля прошита в файле sources/register.php, в 2.1 — в sources/action_public/register.php. Делай поиск по строке "strlen($len_p)".

[.to4ka]

прячет файл admin.php

так я правильно понимаю что по адресу your_site/forum/admin.php уже не войти?

[.to4ka]

да,ты прально понимаешь,и не задавай больше тупых вопросов-в следующий раз получишь предупреждение.

[Gogy]

Знаю, знаю, это называется - разговаривать с самим собой

[Teron]

Вопрос: а существует ли в природе готовый парсер логов, скажем того же апача, который выявляет попытки взлома по запросам? Можно конечно и самому написать, но может такой уже есть?

[gtk]

Ситуация такая: стоит форум в локалке. Так вот, когда авторизируешся на форуме, то сниффером все ловится "на ура" даже расшифровывать не надо Прямо виден логин и пароль. Подскажите пожалуйста как от этого защититься?

[Чёртос-2]

Использовать HTTPS, т.е., HTTP с SSL. Нужно настраивать веб-сервер,сам форум с этим не связан. Таков уж протокол HTTP...

[replicant]

Ситуация такая: стоит форум в локалке. Так вот, когда авторизируешся на форуме, то сниффером все ловится "на ура" даже расшифровывать не надо Прямо виден логин и пароль. Подскажите пожалуйста как от этого защититься?

 

А что свитчи уже не принято использовать?

[gtk]

Ситуация такая: стоит форум в локалке. Так вот, когда авторизируешся на форуме, то сниффером все ловится "на ура" даже расшифровывать не надо Прямо виден логин и пароль. Подскажите пожалуйста как от этого защититься?

 

А что свитчи уже не принято использовать?

 

???

[replicant]

???

 

Да это я к тому, как так надо строить сеть, чтобы все можно было просниффить?

[Sergei74]

Скажите, если поставить доп. пороль

 

if (!isset($PHP_AUTH_USER) || ($PHP_AUTH_USER != '*****' || $PHP_AUTH_PW != '****')) {

Header("WWW-Authenticate: Basic realm=\"My Realm\"");

Header("HTTP/1.0 401 Unauthorized");

exit("Authorization failed.");

}

 

он добавляет безопасности для админки или только как малое прикрытие.

[freeman85]

смотря какой пароль поставишь, а так и его подобрать(читай перебрать) можно.

но отпугнет одназначно

Изменено 14 Мая 2006 пользователем freeman85

[Arhar]

защита апача лучше

<Limit GET POST>
require valid-user
</Limit>

- три попытки ввода..и потом там хэш пароля вообще какой-то непонятный (создётся утилитой htpasswd), не нашёл ни одного похожего через passwordspro

[Hidden_Spy]

простейший способ

открываешь ./admin.php

находишь

/*-----------------------------------------------
  USER CONFIGURABLE ELEMENTS
 ------------------------------------------------*/

добавляешь перед:

if (!isset($PHP_AUTH_USER) || ($PHP_AUTH_USER != 'test' || $PHP_AUTH_PW != 'test')) { 
    Header("WWW-Authenticate: Basic realm=\"My Realm\""); 
    Header("HTTP/1.0 401 Unauthorized"); 
    exit("Authorization failed."); 
}

 

акк на вход test/test =)

Сделал все как написано. Ввожу логин/пасс (test/test) три раза. Открывается страница с надписью "Authorization failed." К админ странице не пускает. В чем проблема?

Версия форума 2.1.6

[AluCaRd!]

всё оук

[WARfromTEARS]

GiV

простейший способ 
открываешь ./admin.php
находишь

CODE  
/*-----------------------------------------------
  USER CONFIGURABLE ELEMENTS
 ------------------------------------------------*/ 


добавляешь перед:

CODE  
if (!isset($PHP_AUTH_USER) || ($PHP_AUTH_USER != 'test' && $PHP_AUTH_PW != 'test')) { 
    Header("WWW-Authenticate: Basic realm=\"My Realm\""); 
    Header("HTTP/1.0 401 Unauthorized"); 
    exit("Authorization failed."); 
} 



акк на вход test/test =)

всё сделал как написано - не пускает - появляется всплывающее окно для ввода пароля, 3 раза его спрашивает - и не пускает !

Добавлено в [mergetime]1105133011[/mergetime]

Прописал так:

if (!isset($PHP_AUTH_USER) || ($PHP_AUTH_USER != 'test' || $PHP_AUTH_PW != 'test')) { 
    Header("WWW-Authenticate: Basic realm=\"My Realm\""); 
    Header("HTTP/1.0 401 Unauthorized"); 
    exit("Authorization failed"); 
}

 

не впускает

 

У меня такая же проблема,что делать?

[replicant]

У меня такая же проблема,что делать?

 

 

В php.ini register_globals = on (кажись так)

[LE_TALLEC]

или через хтацесс.просто надоело об етом писать уже.. (

[Ivanoff]

Народ, подскажите, какие патчи безопасности нужно ставить на IPB 1.3.1 Rus?

[xRay]

Ivanoff

Ты бы хоть за Song смотрел-то

вот:

http://www.sysman.ru/index.php?showforum=108

[Ivanoff]

Что за сонг?

по ссылке - не пускает.

[xRay]

Так ты зарегайся тогда и пустит

[replicant]

http://www.modsecurity.org - как вариант от части взломов!