Единый форум поддержки |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома
А может не стоит её прямо в топик? А то все любопытные кликать будут...
ну под скрытый то можно)))
или в личку всем "желающим" 
так что насчет разделения админов и блокировки неверновводящих?
пост 127
Отредактировано Operation Exodus (Сб, 11 Сен 2010 11:26:49)
Riva, дайте ссылку на видео.
В чате архива сохраняется всего на четыре страницы. А у нас чат намного посещаемый чем флуд.
Попросим тем кто смотрел видео посмотреть в историю браузера, а то я уже удалила... ><
Последний визит:
Вчера 23:34:00
Блооо, и правда взломали. Я ещё около 17:30 мучилась с этим паролем и не могла зайти. Спасибо за помощь!
Отредактировано Riva (Сб, 11 Сен 2010 17:23:03)
Есть ли возможность "свистнуть" пароли если у меня браузер запоминает и пароли, и ники или допустим пароли где-то в блокноте сохранены?
есть, существуют троянские программы, которые считывают и сохраняют всё, что вы вводите с клавиатуры, поэтому пару ник
-пароль не сложно увидеть
Почти все трояны легко ловятся антивирусами,
не все
Ортимум защиты сейчас, по состоянию на 2010, - это считывать ID компутера, вообщем в каждой железке зашит свой идентификатор, и проги такие есть, скрипт - ну нужно делать или искать, на каком то сервисе читал, что уже внедрено тады помимо аккаунта можно прроверять ID и делать перезапрос, для админов, - к примеру, например требовать ответ на контрольный вопрос, и бан пользователя труднее обойти - каждый день компутер менять не будешь, даж в интернет кафе их не слишком много
Здравствуйте!
в одном из постов предложили 2 пароля, а возможно ли сделать так: 1 пароль у службы поддержки, 2 у администратора. Администратор форума предупреждает службу поддержки по аське или ...., отвечает на секретный вопрос, служба поддержки вводит первый пароль, админ второй. я думаю так взломать будет намного сложней, потому что, 1 пароль знает служба поддержки, а 2 администратор.
Anatomy
Я с тобой согласна!
Здравствуйте!в одном из постов предложили 2 пароля, а возможно ли сделать так: 1 пароль у службы поддержки, 2 у администратора. Администратор форума предупреждает службу поддержки по аське или ...., отвечает на секретный вопрос, служба поддержки вводит первый пароль, админ второй. я думаю так взломать будет намного сложней, потому что, 1 пароль знает служба поддержки, а 2 администратор.
как в швейцарском банке? Больше гемора добавим только.
Хорошо бы для админов была возможность заходить в свой аккаунт не только через пароль, но и через код проверки, который приходит по смс, как у вебмани например, насколько сложнее бы тогда взламывались бы форумы.
kolobdur74
черртовски верно!
А еще было бы хорошо от непроверенных людей сделать вещь одну - чтобы все манипуляции администраторов и модераторов по удалению сообщений, подфорумов и категорий, проходили через главного администратора, а он одобрял или же не одобрял.)
Rhisenn
Можно отключить в админке возможность для модераторов видеть логи и запретить модераторам удалять сообщения. Мне пришлось так сделать, когда модератор удалил на форуме ряд тем год назад. Теперь сообщения, подлежащие удалению модераторы могут только перемещать в корзину, которая доступна и видима только для меня и модераторов, а удаляю из нее сообщения уже я сама. Да, модератор может удалять тела сообщений, через редактирование, но тогда ему придется зайти в каждое сообщение темы - а это уже намного сложнее и времени намного больше займет, чем удалить первое сообщение в теме и тем самым всю тему.
Отредактировано Амаль (Вт, 8 Ноя 2011 09:34:33)
Амаль
у меня просто несколько администраторов тоже есть, а иногда случаются такие вещи, как ссоры и месть, это я сейчас не про себя, а в общем. Прецеденты были...)
Rhisenn
Из соображений безопасности на форуме должен быть только один Администратор с соответствующими правами. Всем остальным можно прописать вручную в поле администраторский статус и дать модераторские права. Будут недовольны? Тогда объясните им, что делаете это из соображений безопасности. Не поверят? Это их проблемы. И уж лучше пусть они будут такими, чем такими, которые могут возникнуть впоследствии. А там Вам решать.
Амаль
при чем здесь будут недовольны, не поверят? люди с АДМИНИСКИМИ правами нужны мне, потомучто я не все успеваю. у меня и личная жизнь и работа. это естественно. а модер в кодах не сможет сделать ничего, ибо нет доступа.
Rhisenn, простите за глупый вопрос, диз сделан, скрипты работают, а чего им там, в кодах, каждый день тогда делать?
А еще было бы хорошо от непроверенных людей сделать вещь одну - чтобы все манипуляции администраторов и модераторов по удалению сообщений, подфорумов и категорий, проходили через главного администратора, а он одобрял или же не одобрял.)
Этого, опять же, не будет. Нецелесообразно.
Модераторов выбираете вы. Администраторов выбираете вы. Если администраторы или модераторы не устраивают вас по тем или иным причинам вы вправе их снять. Однако, если у них будут права на удаление тем, установленные вами, взломом это уже считаться не будет.
Поэтому, выбирайте людей проверенных и надежных.
Помимо этого, есть на форуме ТП замечательный раздел с back-up-ами.
Очень даже целесообразно.
но раздел не тот. такие предложения надо делать тут: https://forum.mybb.ru/viewforum.php?id=2
На майбб не хватает тонких настроек прав админов и модеров.
Допустим, было бы неплохо позволять админу добавлять/удалять категории и форумы, но запретить допуск к настройкам, или, например, одним модераторам позволять только редактирование сообщений, а другим перенос или удаление тем и сообщений.
Короче, тонкие настройки групп - это очень здорово. хорошо запрещать что-то менять не на словах, а технически.
а пока у нас нет возможности тонко регулировать права доступа, админов и модеров надо отбирать проверенных. пусть человек сначала поработает как простой участник форума, а потом уже получает расширенные права доступа.
+ всегда же есть человеческий фактор. моя знакомая, например, назначила админом не злоумышленника, а просто неопытного человека, который случайно вместо того, чтоб скопировать код стиля, удалил. не весело. 
Отредактировано Герда (Ср, 9 Ноя 2011 03:38:22)
На майбб не хватает тонких настроек прав админов и модеров.
+1 Это не помешало бы. Фактически все упирается только в возможность создания групп на основе модераторов, только с более широким выбором настроек по их правам. Тогда фактически и вторые админы не нужны, а в статусе прописывая названия можно их разделить как угодно, начиная от модератора-стажера и т.д.
Фактически все упирается только в возможность создания групп на основе модераторов
а есть еще один вариант воплощения: индивидуальные настройки для конкретного администратора/модератора.
админ четко дал понять, что групп на основе модеров и админов не будет по вопросу безопасности. но можно было бы добавить в поле профиля "управление" всю необходимую опциональность.
кстати, сейчас же можно модеров допускать только к определенным разделам расставлением флажков, так почему бы то же самое не делать по отношению к админам:
допуск к страницам: да/нет
свой стиль: да/нет
удаление форумов: да/нет
редактирование форумов: да/нет
и т.п.
например, у меня лично админов развелось достаточно дофига.
но полный доступ к форуму нужен только одному из них.
а из-за вопросов безопасности пришлось всех заставлять ставить 20-ти значные пароли, заводить отдельную, незасвеченную почту и т.п.
Отредактировано Герда (Ср, 9 Ноя 2011 10:45:02)
кстати, сейчас же можно модеров допускать только к определенным разделам расставлением флажков, так почему бы то же самое не делать по отношению к админам:допуск к страницам: да/нетсвой стиль: да/нетудаление форумов: да/нетредактирование форумов: да/нети т.п.
Ну, в принципе, да. Можно и так и было бы неплохо. Я правда не силен в скриптах, но может можно скриптом в админке скрывать определенные страницы от тех, кто перечислен в списке, по типу скрипта Deff'a допуска в категорию или форум строго по списку, но это уже нагрузка форума лишними скриптами.
Кофеман, Скриптами форум не защищен от взлома, всегда можно освободить исходный код от кодов запрета и проникнуть в запрещенные страницы, только действия на стороне сервиса обеспечивают безопасность.
Реальных предложений пока два
Если ничего не делать: Амаль (Псевдоадмин - модератор)
И Если делать Правильно-Удобно: - Герда
Отредактировано Deff (Ср, 9 Ноя 2011 11:24:34)
| Как защитить форум от взлома | Безопасность | Вс, 14 Апр 2013 |
| Атака спамеров | Архив | Вт, 26 Дек 2017 |
Вы здесь » Единый форум поддержки » Безопасность » Мысли и предложения по защите форума от взлома