Единый форум поддержки |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)
Вот это дело. 
Хорошо что за многими вопросами решили и этот вопрос * почти* - пароль, секретный вопроси и бэкап.
Он теперь расстроен.
Лицемерие так и прёт из него ... мда ... В общем все мысли впервые за некторое время об этом модераторе, в теме Эпизод 2, пост номер 575, страница 23. Причём - это по теме )) Нефиг строить из себя ,,супермодератора,, и на пустом месте чистку затевать )) смешно.
Anni-neko написал(а):
Он теперь расстроен.
я этого не писала ((
я оч извиняюсь..но уменя по ходу пару вопросов..ибо все серьезнеет и серьезнеет ето все;еси не трудно кому--ответьте1-шмеля ломали?2-причем тут руслан
1-еси ломали шмеля,причем не так давно-ждите взлома марисоль
2-рус врядли че ломал,*от мысли етой me смеется
еси ломали шмеля,причем не так давно-ждите взлома марисоль
Мне казалось, форум у них один...
Morfirin
неа
почитала я..ну и флудеры
вообщем на русю гонят--зря..некрасиво вообще..называется поклеп и клевета..подответственно,кстати..не говоря уже об оскоблениях..я все понимаю--эмоции..но холодная голова=имхо-лучше
догадки,даже подтвержденные косвенно=все равно являются субъективными..все понятно?или по пунктам объяснять?
вот думаю-ликбез чтоле открыть..как то хакеры действительно быстрее понимают=боюсь сказать умнее\они\
мб тогда и тупить не будете
еще раз повторюсь--просто так чтоб кто кого ломал...мдя.
время=деньги..не гвооря уже обо всем остальном
шутки ет хорошо
но хотите чтоб было все норм,ведите ся соответственно..а то выясняете грубо какие то отношения,а потом друг друга подозреваете\впринципе без претензий к мафке,так..в общем\
положение вещей прискорбное..а могу еще рассказать как бывает,форум-мелочь,можно потерять жесткие безвозвратно,железо нафик,инет фтопку
вот и думайте терь кто где когда кому нахамил
у меня лично лю пасс--12345--зебра подтвердит--скок у хакеров--никто иникогда 
Свои мысли еще вчера изложил здесь: Средства от взлома форумов через модераторов
Admin
Вероятно кто-то знает про существовании этой проблемы, но я её на всякий случай здесь сообщу.
Дело в том что каким-то образом зарегестрированный юзер может получить емеил админа или модератора
форума. И это при том что они скрыты от всех с помощью опции Приватность. Каким образом это
происходит я не знаю, но получают без проблем. Собственно мне вчера один из моих знакомых
это наглядно продемонстрировал, получив скрытое мыло одного из юзеров.
Ну а дальше уже проще - ломают мыло и высылают на него пароль форума.
Разумеется от этого легко можно защитится указав мыло с например доменом @mybb.ru и т.д., но это ведь не выход.
Надо как-то это дело пофиксить.
Отредактировано budda (Пн, 9 Июн 2008 13:50:17)
Admin
Дальше может быть чушь, а может наоборот
Первый вопрос: самый первый профиль который регистрируется это ведь ваш Admin? Потом глав админ форума, так? Если так, то как давно вы меняли пароль?
Второй вопрос: у майбб свои сервера на которых хранятся. Сервер - высокопроизводительный компьютер со специальной OC и ПО. Зная что все ос ставятся на dos вопрос Почему нельзя востановить форумы если файлы в досе не так трудно востанавливать?
Вот идея 
Сделать два поля логин и ник в форме регистрации. Логин будет служить только для входа и в профиле нигде не будет показываться, а ник будет как и сейчас над аватаром, в профиле и т.д.
Вот идея
Сделать два поля логин и ник в форме регистрации. Логин будет служить только для входа и в профиле нигде не будет показываться, а ник будет как и сейчас над аватаром, в профиле и т.д.
Все это конечно хорошо, но согласись, это грубо говоря 2 пароля, взломать соответственно труднее, но придется ведь и делать функцию для "забывчевых" иначе никак, и на почту будут высылаться этот логин и пароль, а через почту чаще всего и ломают, поэтому на много это не защитит, а недовольных может быть немало.
"секретные вопросы" уже звучало?
1. Пользователь использует уникальный пароль, т.е. такой, который не использует больше нигде.
Вот тут полезная информация про надежность паролей.
Продолжаю свою мега идею с прошлой страницы
Создать так же пользователя-невидимку о нике и пароле которого будет знать только админ. Когда при попытке взлома админа будут нажимать Забыли пароль в лс неведимки будет высылаться логин и пароль админа. При нажатие Забыли пароль у невидимки на мэйл высылать пароль невидимки, а на профиль (если есть ещё админы) другога админа высылать логин и пароль пользователя-неведимки в лс. Сообщение закрыто лёгким паролем, который знает только админ.
Сделайте так.
Запрос на смену пароля с мыла-это очень плохая идея. так был взломан мой форум...
Сделайте так, чтобы пароль забытый мог восстанавливаить только админ(это для всех юзверей).
Для админа -три или больше контрольных вопросов, которые заполняет сам админ при регистрации +указание дополнительного емейла+ еще какая-нибудь примочка. И это все только с айпишника админа. если с чужого айпишника-это нужно ужесточить.
А форум свой мне все равно жалко...
Сделайте так, чтобы пароль забытый мог восстанавливаить только админ(это для всех юзверей).
Это хорошо подойдёт для малых форумов, где число участников ограничивается 100... На более крупных форумах это не пойдёт, поскольку в день по нескольку участников заказывают себе новые пароли. И теперь представьте себе, что админу придётся каждый раз приходя на форум получать сообщение о том, что кто-то забыл пароль и надо его менять... А пользователь не сможет попасть на форум, пока не явится админ...Или хуже того, есть форумы, где админы просто забросили руководство и более не появляются. Там как прикажете поступать?
И это все только с айпишника админа.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.
То же самое и с мылом. Регните форум с одного, потом сами же и поменяйте, пропишите какую-нибудь ерунду кириллицей, да и все.
оздать так же пользователя-невидимку о нике и пароле которого будет знать только админ. Когда при попытке взлома админа будут нажимать Забыли пароль в лс неведимки будет высылаться логин и пароль админа. При нажатие Забыли пароль у невидимки на мэйл высылать пароль невидимки, а на профиль (если есть ещё админы) другога админа высылать логин и пароль пользователя-неведимки в лс.
Круговая порука мажет как копоть, я беру чью-то руку, а чувствую локоть. (Машина Времени)
Круговая порука на форуме не уместна.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.
для этого используют фильтрацию по диапазону айпи
для этого используют фильтрацию по диапазону айпи
Человек реально может воспользоваться этим провайдером в любом Интернет-клубе. Диапазон будет таким же.
Часто ж бывает так, что админы живут в одном городе. Думаю, такая защита - сомнительна.
Человек реально может воспользоваться этим провайдером в любом Интернет-клубе. Диапазон будет таким же.
ну так данных по поводу какой именно "этот" провайдер не будет в наличии
Имхо, в варианте админы-близкие друзья это будет в наличии. А такие случаи часты.
Также возможен вариант предварительного создания опроса - какой у вас провайдер и все такое.
Довольно часто сам админ пишет в флуде, например, какой у него провайдер
Голь на выдумки хитра.
Но я спорить не стану, так как в этом разбираюсь слабо.
Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)