Единый форум поддержки |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)
допуск к страницам: да/нетсвой стиль: да/нетудаление форумов: да/нетредактирование форумов: да/нети т.п.
потому что тогда они будут модераторами?
потому что тогда они будут модераторами?
а вот хочется мне модератора, который может, допустим, лазить в функцию "свой стиль", не имея никакого другого доступа к администрированию форума. 
эдакий дизайн-модератор.
как улягутся проблемы с форумами, посмотрим, одна я такая или нет. 
Отредактировано Герда (Ср, 9 Ноя 2011 12:36:00)
Admin
Я думаю так:пусть все запомнят пароль правдивости.Например спросим:пароль правдивости?
Если правильно то это он, если нет, можно убедиться что это не он задав вопрос такой, который только он знает ответ.
Несколько способов применяемых мной:
1 Установить сложный пароль админа
2 Брать в админ состав только проверенных людей, так же относиться к модераторам
3 В почте установить дополнительный Email на случай если вы забыли пароль. Такую функцию начали практиковать @yandex.ru и @mail.ru
4 Не светить где не надо ваш Email
5 Устанавливайте сложные ответы на контрольные вопросы
Например: (Девиья фамилия матери: Когда была маленькой у нее была "фамилия")
Ещё хочется добавить, по e-mail:
Сделайте несколько e-mail, на все логине/пароле запишите на бумажку. Регистр важен!
Сделайте бумажку со всеми (включая разные форумы/сайты!!!) пароле/логине, сделайте несколько копий, положите в нескольких местах.
Вы мне скажете, что это паранойя - но мы же все админы, а, как известно, паранойя является основной движущей силой сисадмина или админа.
Это я вам говорю с высоты прожитых лет, в том числе работы и эникейщиком и сисадмином и админом.
Такая вот штука, как просто кусок бумаги, спасает.
Пример?
Извольте: однажды я по запарке и пронадеявшись на местную администрацию (конечно же, не без оснований!), на свою почту зарегал старого друга к себе на форум, когда я держал постоянный тут форум. Потом у меня внезапно сломался комп, и я всё забыл, в том числе новый пароль, который мне пришлось сделать. Тонкости-подробности - кто не знает, узнает при первом же подобном случае)))
Хорошо, что тут администрация отзывчивая, а так бы мне пришлось забыть про форум тут...
Но так бывает не на всех сервисах/хостингах...
Отсюда, дабы не зависеть ни от кого, ВСЕГда записывайте все жвижения на бумажку и в компе на некий, созданный спецом для таких случаев, документ.
Я всего-то пару раз обходился без такой вот двойной защиты - оба раза здесь, и оба раза мне приходлось просить в отдельном топике помочь мне, главного админа...
Но я ещё раз скажу - ВСЕГДА записывайте всё, чтоб не ошибаться.
Надеюсь, помог)))
ЗЫ Я вообще, много админил/модеровал в сети, и сейчас хватает, но именно паранойя и спасает)))
Естественно, до зелёных человечков в голове, посторонних голосов или тараконов себя, конечно же, не доводите, но надейтесь всегда только лишь на свои силы!
СогласнаJohn Warner
Товарищи! На нашем форуме уже 20 минут пытаются вскрыть админский аккаунт с разных ip.
Нужны советы!!!
Scary
Закройте форум на профилактику => http://forum.mybb.ru/viewtopic.php?pid=669383#p669383 пост 472
Ксать после пяти попыток вродь доступ обрубается
Отредактировано Deff (Сб, 12 Май 2012 18:10:14)
Спасибо!
Скрытый текст:
Вам нужно набрать еще 9223372036854775166 сообщений для просмотра этого текста.
в бан навечно.
Доброго времени суток! Очень часто на своем форуме наблюдаю гостей подолгу висящих в профиле администратора или модератора форума.
Хотя и установлен скрипт запрета просмотра профиля пользователя гостям
<script type="text/javascript">
if (document.getElementById('pun-status').innerHTML.indexOf("Гость")!=-1){
if (document.URL.indexOf("profile.php")!=-1){
document.getElementById('pun-status').innerHTML="<div id=pun-status class=section><p class=container><span class=item1>ДОСТУП К ЛИЧНЫМ ДАННЫМ ПОЛЬЗОВАТЕЛЯ ЗАПРЕЩЕН !</span></p></div>"
document.getElementById('pun-main').style.display="none"
}}
</script>есть опасения что попытки подобрать пароль имеют место.
Понятно что для безопасности нужно иногда менять логин и пароль, но сейчас не об этом.
Существует вот такая предупреждалка, смысл ее работы думаю известен всем (подтверждение входа или выхода со страницы).
<script language="JavaScript">
<!-- Begin
var zayti=confirm("текст предупреждения 1\nтекст предупреждения 2");
if (zayti)
history.go(1);
else
history.back();
// End -->
</script>Можно как то связать эти два скрипта, так что бы при входе в профиль пользователя гость получал вспыхивающее окошко с предупреждением о запрете доступа к странице, типа такого (И ЧТО ВАМ НУЖНО В МОЕМ ПРОФИЛЕ УВАЖАЕМЫЙ ГОСТЬ ? ПОЖАЛУЙСТА ПОКИНЬТЕ СТРАНИЦУ ! ИНАЧЕ ДОСТУП К САЙТУ, ЗА ПОПЫТКУ ВЗЛОМА АККАУНТА, ДЛЯ ВАС БУДЕТ ЗАБЛОКИРОВАН) и при нажатии на кнопку ОК на окошке предупреждения попадал на главную страницу форума, при нажатии кнопки ОТМЕНА на предыдущую.
Ну и что бы первый скрипт тоже работал, ведь в браузере можно заблокировать показ таких окон.
Чуть не забыл Ссылка на форум.
есть опасения что попытки подобрать пароль имеют место.
проверьте логи (журнал форума), там отображаются все попытки ввода неверного пароля любого участника (включая админа), чтобы уж знать наверняка, чего гости хотят от вашего профиля
проверьте логи (журнал форума), там отображаются все попытки ввода неверного пароля любого участника (включая админа), чтобы уж знать наверняка, чего гости хотят от вашего профиля
Спасибо за подсказку. Я в курсе. Меня сейчас скрипт больше интересует. Защитить форум от взлома (мысли и предложения)
ВОТ ОДИН ИЗ ПРИМЕРОВ ЗА СЕГОДНЯ
Сегодня 17:45:08 Гость * 93.76.167.170 * Ввод неверного пароля участника starmish59
Сегодня 12:26:10 Гость * 37.229.97.208 * Ввод неверного пароля участника Ruslan777
Сегодня 12:21:41 Гость * 37.229.97.208 * Ввод неверного пароля участника Ruslan777
Отредактировано 103 (Ср, 18 Фев 2015 23:14:49)
103
Если пароль сгенерирован форумом, взлом вряд ли возможен, Почему?
Cистема перебора 8-ми 64-значных символов = 281474976710656 Вариантов,
После пяти попыток, запрет сервисом на повторый ввод на два часа - т.е реально сотни лет, чтобы подобрать первые пять цифр
2. Ломают не по паролю(если он не типичный у данного ника на всех форумах, а именно сгенерённый, а по мылу, взломав мыло - перезапрашивают пароль, как забытый
Отредактировано Deff (Чт, 19 Фев 2015 00:06:59)
Если пароль сгенерирован форумом, взлом вряд ли возможен
Да я все понимаю, меня интересует только такой скрипт, если это возможно.
В этой теме будем рассматривать реализацию защиты форума через взлом почты с дальнейшей отсылкой на нее нового пароля. Как показала практика других способов взлома не происходило с 26 сентября 2006 года.
Требовать два мыла для ГлавАдмина форума и отсылать(при смене пароля на форуме) по обоим "мылам" уведомление о смене пароля
Как знать, что действительно настоящий владелец форума забыл пароль?
Такой Админ-потеряшка должен послать с обоих "мыл" письмо помогающему на сервисе на указанный емейл
С подшефными Админами-модерами ГлавАдмин форума сам разбирается...
Отредактировано Deff (Сб, 12 Ноя 2016 04:23:51)
Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума! Смена номера моб. тел. должна быть невозможной!
Например, нажимаем "забыл пароль", на мыло приходит новый пароль и одновременно приходит смс с кодом и чтобы вписать новый пароль, нужно будет сначала ввести код подтверждения, полученный на номер телефона и только тогда откроется окно для ввода нового пароля.
Как это номер мобильного поменять невозможно?
Это нехорошо. А если я поменяю номер из-за потери старого? К примеру, я в Украине уже не востановлю российский номер телефона. Тогда плакал мой форум?
А если я телефон забыла где-то, куда среди ночи не попасть?
Неа, это не вариант.
Я вообще считаю, что идеальной и универсальной защиты нет. Пытаться стоит, но всем не угодишь. Скорее сами админы должны быть осторожны (хотя себя назвать осторожной язык не поворачивается))) ), так как все проблемы как раз из-за человеческого фактора.
Отредактировано Lidia-Lada (Вт, 29 Ноя 2016 13:12:20)
Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума!
Жесть ) Мб еще номер паспорта запрашивать? Поверьте, если админ соблюдает хотя бы элементарные правила безопасности, сервис достаточно устойчив. А если он сам все делает для того, чтобы можно было его хакнуть, тут и смс не поможет.
Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)