Единый форум поддержки |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома
103
Если пароль сгенерирован форумом, взлом вряд ли возможен, Почему?
Cистема перебора 8-ми 64-значных символов = 281474976710656 Вариантов,
После пяти попыток, запрет сервисом на повторый ввод на два часа - т.е реально сотни лет, чтобы подобрать первые пять цифр
2. Ломают не по паролю(если он не типичный у данного ника на всех форумах, а именно сгенерённый, а по мылу, взломав мыло - перезапрашивают пароль, как забытый
Отредактировано Deff (Чт, 19 Фев 2015 00:06:59)
Если пароль сгенерирован форумом, взлом вряд ли возможен
Да я все понимаю, меня интересует только такой скрипт, если это возможно.
В этой теме будем рассматривать реализацию защиты форума через взлом почты с дальнейшей отсылкой на нее нового пароля. Как показала практика других способов взлома не происходило с 26 сентября 2006 года.
Требовать два мыла для ГлавАдмина форума и отсылать(при смене пароля на форуме) по обоим "мылам" уведомление о смене пароля
Как знать, что действительно настоящий владелец форума забыл пароль?
Такой Админ-потеряшка должен послать с обоих "мыл" письмо помогающему на сервисе на указанный емейл
С подшефными Админами-модерами ГлавАдмин форума сам разбирается...
Отредактировано Deff (Сб, 12 Ноя 2016 04:23:51)
Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума! Смена номера моб. тел. должна быть невозможной!
Например, нажимаем "забыл пароль", на мыло приходит новый пароль и одновременно приходит смс с кодом и чтобы вписать новый пароль, нужно будет сначала ввести код подтверждения, полученный на номер телефона и только тогда откроется окно для ввода нового пароля.
Как это номер мобильного поменять невозможно?
Это нехорошо. А если я поменяю номер из-за потери старого? К примеру, я в Украине уже не востановлю российский номер телефона. Тогда плакал мой форум?
А если я телефон забыла где-то, куда среди ночи не попасть?
Неа, это не вариант.
Я вообще считаю, что идеальной и универсальной защиты нет. Пытаться стоит, но всем не угодишь. Скорее сами админы должны быть осторожны (хотя себя назвать осторожной язык не поворачивается))) ), так как все проблемы как раз из-за человеческого фактора.
Отредактировано Lidia-Lada (Вт, 29 Ноя 2016 13:12:20)
Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума!
Жесть ) Мб еще номер паспорта запрашивать? Поверьте, если админ соблюдает хотя бы элементарные правила безопасности, сервис достаточно устойчив. А если он сам все делает для того, чтобы можно было его хакнуть, тут и смс не поможет.
Восстановление или смена пароля должны осуществляться через мыло с кодом подтверждения на мобильный телефон, который должен быть привязан к аккаунту админа форума!
Это не оправдано и создаст дополнительные трудности при смене или восстановлении пароля. К примеру что если телефон утерян? К тому же на реализацию подобного нужны большие трудозатраты.
Чтобы Вас не взломали, достаточно иметь сложный пароль, лучше сгенерированный сервисом (через функцию смены пароля или скриптом генерации паролей), (который при этом по возможности никому не сообщать) и указанную в профиле почту на gmail.com, которую взломать практически невозможно. Об этом должен заботиться сам админ форума, а не администрация сервиса.
Не знаю, можно ли такое сделать или нельзя, но на одном сайте, где я была как - то неплохо работает чекбокс - например там написано - Сейчас 2017 год? и нужно поставить галку. Бот не сможет - только человек.
А саму почту админа где угодно неплохо защищает Доп вопрос. Лучше чем смс коды даже.
Как знать, что действительно настоящий владелец форума забыл пароль?
Вот насчет этого момента можно наверное попробовать с картинкой, как на сайте яху.
Там человек в почте загружает картинку с компьютера и по ней его система опознает.
Картинку ест - но знает только человек и система (в идеале) и скопировать ее...проблематично наверное.
Ну или как в Твиттере - система запоминает айпи - адрес с которого юзер зерегистровался и потом хранит куку 10 лет... 
----------
Да, если например админ вначале создаст на своем компьютере уникальную картинку и еще в ее свойствах пропишет название своего форума и что - то еще (эти свойства же потом сохраняются даже если картинку загрузят на разные хостинги и скопируют на комп раз десять).
И картинку такую наверное можно сохранять в файлах админки, а не в общей галерее, чтобы ее не скопировали точно.
Отредактировано maksi (Вс, 2 Апр 2017 17:16:13)
Если юзер дурак, то не помогут ни какие ограничения на ввод пароля и прочие предосторожности
Во многих программах существует поэтому т.н. "защита от дурака" 
Касательно паролей же - хорошо хранить пароли в спецпрограмме с шифрованием на флешке.
Это - Защита от троянцев, защита от хакера, защита от Забыл пароль и желающих пароль узнать родственников - друзей. В этом случае пароль может быть каким угодно. 
Злая написал(а):
И это все только с айпишника админа.
Скажите, а как быть тем у кого динамический? Пользоватся услугами более дорогого провайдера, который предостовляет постоянный? Или приплачивать за постоянный? Слишком дорогое удовольствие.
А здесь можно попробовать только город учитывать админский. Если админ регистрировался из Москвы, а вдруг кто - то лезет в его акаунт с Хабаровска и еще айпи другой. Понятно, что админ мог переехать, но чаще всего - нет.
Если админ регистрировался из Москвы, а вдруг кто - то лезет в его акаунт с Хабаровска
Населенный пункт по IP определяется очень расплывчато, иногда даже регион реальному не соответствует, а при динамическом IP каждый раз по-разному может показывать. Как в этом случае проверить соответствие? К примеру у меня временами Ульяновск показывает, хотя на самом деле я в Самарской области.
Как в этом случае проверить соответствие?
Нуу, можно поставить дополнительный определяльщик города. В том месте, где происходит первый заход админа после его регистрации. Таких сейчас много.
Вообще я не знаю, почему у вас форумный скрипт так не точно определяет город.. - у меня на многих форумах (mybb) наоборот он упрямо показывает один и тот же город, даже лучше, чем Яндекс айпи палит 
И динамический айпи тоже в статистике у него всегда выводит на один и тот же город. Возм дело в провайдере? Может у разных провайдеров по - разному...
Ну, картинку - то в любом случае загрузить можно и в свойствах ее прописать нечто, опознающее админа. Например,экзиф данные некоторые или что - то, что нельзя отредактировать потом, скачав ее даже.
Отредактировано maksi (Сб, 15 Апр 2017 19:07:20)
maksi
Есть особенности.
Меня, например, любой определяльщик видит как новосибирца - притом, что я территориально в Хакасии, сиречь, за 1200 км от НСК. Да даже наш же местный сайт техподдержки МТС-Сибирь видит меня как новосибирца либо москвича. О чём тут можно говорить...
Это из-за того, что дата-центр мобильной связи МТС-Сибирь находится в Новосибирске.
Так что, определяльщики - далеко не панацея.
Ну, картинку - то в любом случае загрузить можно и в свойствах ее прописать нечто, опознающее админа. Например,экзиф данные некоторые или что - то, что нельзя отредактировать потом, скачав ее даже.
Вот сделать бы обязательную регистрацию телефонного номера - это было бы дело.
Экзиф подделывается не просто, а очень просто, поверьте старому "хацкеру".
Вот сделать бы обязательную регистрацию телефонного номера - это было бы дело.
Д вечер
А номер тоже...не гарантирует, если сим - карта куплена с рук. А потом с таким же номером может зайти неизвестно кто. Да и + многие админы не хотят лишний раз светить свой номер, ибо на него много всего часто завязано...
Экзиф подделывается не просто, а очень просто, поверьте старому "хацкеру".
Охотно верю. Но все - таки идея то неплохая с картинкой?
Да! Вот же что сложно подделать! айдио - файл.
У каждого аудио - файла есть своя хэш - сумма, если его изменить, она меняется. То есть - админ может загрузить вначале маленький айдио - файл любой (но уникальный- например, можно на синтезаторе мелодию записать или стишок короткий или что угодно), и потом нужно будет всем, лезущим в админку, загрузить точно такой же. Если же файл - другой - не пускать.
А чтобы админу настоящему не мучиться, постоянно загружая файл, можно требовать его только для доступа к админке.
Отредактировано maksi (Сб, 15 Апр 2017 19:28:26)
Если же файл - другой - не пускать.
Аудио файл утерян( был сохранен на компе - полетела система), либо с иного устройства - уже админ войти не сможет... Не Айс, КМК
Alex_63
Файл можно запаковать и залить на майл клауд или яндех и тд и тп.
Файл можно запаковать и залить на майл клауд или яндех и тд и тп.
А если человек не хочет пользоваться ими?
Или вот вспомнит пароль от форума, а вот пароль от почты напрочь забыл, а жесткий диск накрылся?
Плюс, например, у меня доступ к компу "Если успею". Я как раз успевать буду что загружать файл и все)))
Lidia-Lada
*виртуально пожал плечами*
Всякое бывает, согласен.
Стопроцентно безопасного способа просто нет.
ИМХО все здесь перечисленное выше - просто мазохизм ) Я лично категорически против привязки форума к своему телефону, да и не даст это ничего, а гонять каждый раз какой-нить файл, любой, для тех, кто ходит чаще всего с телефона или планшета, вообще идея швах. Придумывайте нормальные пароли, товарисчи, и соблюдайте правила безопасности, сам по себе сервис достаточно устойчив к взломам.
Отредактировано Mirra Bell (Ср, 19 Апр 2017 14:54:25)
| Как защитить форум от взлома | Безопасность | Вс, 14 Апр 2013 |
| Атака спамеров | Архив | Вт, 26 Дек 2017 |
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома