Единый форум поддержки

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)


Защитить форум от взлома (мысли и предложения)

Сообщений 181 страница 200 из 205

181

Income написал(а):

Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума!

Это не оправдано и создаст дополнительные трудности при смене или восстановлении пароля. К примеру что если телефон утерян? К тому же на реализацию подобного нужны большие трудозатраты.
Чтобы Вас не взломали, достаточно иметь сложный пароль, лучше сгенерированный сервисом (через функцию смены пароля или скриптом генерации паролей), (который при этом по возможности никому не сообщать) и указанную в профиле почту на gmail.com, которую взломать практически невозможно. Об этом должен заботиться сам админ форума, а не администрация сервиса.

+4

182

Не знаю, можно ли такое сделать или нельзя, но на одном сайте, где я была как - то неплохо работает чекбокс - например там написано - Сейчас 2017 год? и нужно поставить галку. Бот не сможет - только человек.
А саму почту админа где угодно неплохо защищает Доп вопрос. Лучше чем смс коды даже.

Как знать, что действительно настоящий владелец форума забыл пароль?

Вот насчет этого момента можно наверное попробовать с картинкой, как на сайте яху.
Там человек в почте загружает картинку с компьютера и по ней его система опознает.
Картинку ест - но знает только человек и система (в идеале) и скопировать ее...проблематично наверное.
Ну или как в Твиттере - система запоминает айпи - адрес с которого юзер зерегистровался и потом хранит куку 10 лет... :dontknow:

----------
Да, если например админ вначале создаст на своем компьютере уникальную картинку и еще в ее свойствах пропишет название своего форума и что - то еще (эти свойства же потом сохраняются даже если картинку загрузят на разные хостинги и скопируют на комп раз десять).
И картинку такую наверное можно сохранять в файлах админки, а не в общей галерее, чтобы ее не скопировали точно.

Отредактировано maksi (Вс, 2 Апр 2017 17:16:13)

+1

183

DARTVENOM написал(а):

Если юзер дурак, то не помогут ни какие ограничения на ввод пароля и прочие предосторожности

Во многих программах существует поэтому т.н. "защита от дурака"  :)
Касательно паролей же - хорошо хранить пароли в спецпрограмме с шифрованием на флешке.
Это - Защита от троянцев, защита от хакера, защита от Забыл пароль и желающих пароль узнать родственников - друзей. В этом случае пароль может быть каким угодно.  ;)

0

184

Чандра написал(а):

Злая написал(а):
И это все только с айпишника админа.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.

А здесь можно попробовать только город учитывать админский. Если админ регистрировался из Москвы, а вдруг кто - то лезет в его акаунт с Хабаровска и еще айпи другой. Понятно, что админ мог переехать, но чаще всего - нет.

0

185

maksi написал(а):

Если админ регистрировался из Москвы, а вдруг кто - то лезет в его акаунт с Хабаровска

Населенный пункт по IP определяется очень расплывчато, иногда даже регион реальному не соответствует, а при динамическом IP каждый раз по-разному может показывать. Как в этом случае проверить соответствие? К примеру у меня временами Ульяновск показывает, хотя на самом деле я в Самарской области.

0

186

Alex_63 написал(а):

Как в этом случае проверить соответствие?

Нуу, можно поставить дополнительный определяльщик города. В том месте, где происходит первый заход админа после его регистрации. Таких сейчас много.
Вообще я не знаю, почему у вас форумный скрипт так не точно определяет город.. - у меня на многих форумах (mybb) наоборот он упрямо показывает один и тот же город, даже лучше, чем Яндекс айпи палит  :dontknow:  :D
И динамический айпи тоже в статистике у него всегда выводит на один и тот же город. Возм дело в провайдере? Может у разных провайдеров по - разному...

Ну, картинку - то в любом случае загрузить можно и в свойствах ее прописать нечто, опознающее админа. Например,экзиф данные некоторые или что - то, что нельзя отредактировать потом, скачав ее даже.

Отредактировано maksi (Сб, 15 Апр 2017 19:07:20)

0

187

maksi
Есть особенности.
Меня, например, любой определяльщик видит как новосибирца - притом, что я территориально в Хакасии, сиречь, за 1200 км от НСК. Да даже наш же местный сайт техподдержки МТС-Сибирь видит меня как новосибирца либо москвича. О чём тут можно говорить...
Это из-за того, что дата-центр мобильной связи МТС-Сибирь находится в Новосибирске.
Так что, определяльщики - далеко не панацея.

maksi написал(а):

Ну, картинку - то в любом случае загрузить можно и в свойствах ее прописать нечто, опознающее админа. Например,экзиф данные некоторые или что - то, что нельзя отредактировать потом, скачав ее даже.

Вот сделать бы обязательную регистрацию телефонного номера - это было бы дело.
Экзиф подделывается не просто, а очень просто, поверьте старому "хацкеру".

0

188

John Warner написал(а):

Вот сделать бы обязательную регистрацию телефонного номера - это было бы дело.

Д вечер
А номер тоже...не гарантирует, если сим - карта куплена с рук. А потом с таким же номером может зайти неизвестно кто. Да и + многие админы не хотят лишний раз светить свой номер, ибо на него много всего часто завязано...

John Warner написал(а):

Экзиф подделывается не просто, а очень просто, поверьте старому "хацкеру".

Охотно верю. Но все - таки идея то неплохая с картинкой?

0

189

Да! Вот же что сложно подделать! айдио - файл.
У каждого аудио - файла есть своя хэш - сумма, если его изменить, она меняется. То есть - админ может загрузить вначале маленький айдио - файл любой (но уникальный- например, можно на синтезаторе мелодию записать или стишок короткий или что угодно), и потом нужно будет всем, лезущим в админку, загрузить точно такой же. Если же файл - другой - не пускать.
А чтобы админу настоящему не мучиться, постоянно загружая файл, можно требовать его только для доступа к админке.

Отредактировано maksi (Сб, 15 Апр 2017 19:28:26)

+1

190

maksi написал(а):

Если же файл - другой - не пускать.

Аудио файл утерян( был сохранен на компе - полетела система), либо с иного устройства - уже админ войти не сможет... Не Айс, КМК

0

191

Alex_63
Файл можно запаковать и залить на майл клауд или яндех и тд и тп.

0

192

John Warner написал(а):

Файл можно запаковать и залить на майл клауд или яндех и тд и тп.

А если человек не хочет пользоваться ими?
Или вот вспомнит пароль от форума, а вот пароль от почты напрочь забыл, а жесткий диск накрылся?
Плюс, например, у меня доступ к компу "Если успею". Я как раз успевать буду что загружать файл и все)))

+1

193

Lidia-Lada
*виртуально пожал плечами*
Всякое бывает, согласен.
Стопроцентно безопасного способа просто нет.

+1

194

ИМХО все здесь перечисленное выше - просто мазохизм ) Я лично категорически против привязки форума к своему телефону, да и не даст это ничего, а гонять каждый раз какой-нить файл, любой, для тех, кто ходит чаще всего с телефона или планшета, вообще идея швах. Придумывайте нормальные пароли, товарисчи, и соблюдайте правила безопасности, сам по себе сервис достаточно устойчив к взломам.

Отредактировано Mirra Bell (Ср, 19 Апр 2017 14:54:25)

+3

195

Alex_63 написал(а):

Аудио файл утерян( был сохранен на компе - полетела система), либо с иного устройства - уже админ войти не сможет...

Он не сможет войти только в админку при такой оказии. На форум сможет.

В этом случае (да и вообще - хорошо) помогает ежедневный бэкап (на флешку, на внешний диск. на др комп.) хотя бы одной папки, где наш теоретический админ хранит важные данные. + согласна с тем, что бэкап в облака - тоже можно.
+ синхронизация устройств - например - мобильный - стационарный компьютер - синхронизировать. При этом загрузка файла в облако происходит примерно в теч. 1 минуты.
А с картинкой вообще нет таких проблем. Она маленькая, ее и с телефона легко загрузить.

Пароли конечно надежные хорошо, но как я поняла из первых постов - не всем это помогает и значит нужны дополнительные степени защиты форума.
Можно ту же картинку загрузить в самом начале, а потом только ее требовать если у админа айпи изменился (город совсем из другой части планеты и т.д). Т.е. если у системы возникло подозрение, что админ - ложный.

0

196

maksi
Если пароль никому не давать(кроме модсостава ЕТП) и адрес почты держать на gmail(соответственно от него пароль тож не давать), ну или адрес несуществующий поставить в профиле - тогда и так никто не взломает и без этих дополнительных способов защиты

+3

197

Доброго времени!
Подскажите, какая максимальная длинна пароля (сколько символов)?
И можно ли использовать русские буквы для паролей?

0

198

Income
В форме авторизации максимальная длинна пароля доступна на 16 символов. Можно использовать практически любые символы, в т.ч. русские в разном регистре.

+2

199

Что ещё можно сказать по части админства вообще - больше серьёзности в подходе, и будет меньше проблем.
Пароль/логин сделали позаковыристее, не поленились, записали/распечатали на бумажку, положили так, чтобы иметь под рукой, но чтоб безопасно лежал.
Это только в кино всякие Итаны Ханты чудят, в жизни никто его никуда не денет.
И потом, никому не показываем и никому не даём эти данные.
Пришло письмо, типа, кто-то из техподдрежки просит пароль/логин для неких ремонтных пассов - пишем в техподдержку об этом, если есть сомнения, и всё такое прочее.
Тут об этом уже говорилось.

+1

200

Alex_63 написал(а):

Если пароль никому не давать(кроме модсостава ЕТП) и адрес почты держать на gmail(соответственно от него пароль тож не давать), ну или адрес несуществующий поставить в профиле - тогда и так никто не взломает и без этих дополнительных способов защиты

Согласна, если пароль хороший и хорошо защищен - атаке может подвергнуться только почта админа. К сожалению, джмайл уже часто взлымывать стали, яндекс и майл ру еще чаще. Рамблер вообще поразил меня.  :suspicious: в плане своей "безопасности".
Вот яху неплох в этом плане, но если там не убрать одну галку - почта "торчит наружу" и начинает приходить спам.
Вообщем, не панацея почта с правильным паролем и прочим. Если только она у админа не на своем личном хостинге, со спец. защитой и фаерволлом и мало кому известна.
Можно тем более доп защиту админки сделать опциональной - по желанию админа.
Да и я на самом деле не настаиваю на своем предложении. Просто предложила идею.  8-)

0


Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)