Единый форум поддержки

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)


Защитить форум от взлома (мысли и предложения)

Сообщений 141 страница 160 из 210

141

Ортимум защиты сейчас, по состоянию на 2010,  - это считывать ID компутера, вообщем в каждой железке зашит свой идентификатор, и проги такие есть, скрипт - ну нужно делать или искать, на каком то сервисе читал, что уже внедрено тады помимо аккаунта можно прроверять ID и делать перезапрос, для  админов, - к примеру, например требовать ответ на  контрольный вопрос, и бан пользователя труднее обойти - каждый день компутер менять не будешь, даж в интернет кафе их не слишком много

0

142

Здравствуйте!
в одном из постов предложили 2 пароля, а возможно ли сделать так: 1 пароль у службы поддержки, 2 у администратора. Администратор форума предупреждает службу поддержки по аське или ...., отвечает на секретный вопрос, служба поддержки вводит первый пароль, админ второй. я думаю так взломать будет намного сложней, потому что, 1 пароль знает служба поддержки, а 2 администратор.

0

143

Anatomy
Я с тобой согласна!

0

144

Anatomy написал(а):

Здравствуйте!в одном из постов предложили 2 пароля, а возможно ли сделать так: 1 пароль у службы поддержки, 2 у администратора. Администратор форума предупреждает службу поддержки по аське или ...., отвечает на секретный вопрос, служба поддержки вводит первый пароль, админ второй. я думаю так взломать будет намного сложней, потому что, 1 пароль знает служба поддержки, а 2 администратор.

как в швейцарском банке? Больше гемора добавим только.

0

145

Хорошо бы для админов была возможность заходить в свой аккаунт не только через пароль, но и через код проверки, который приходит по смс, как у вебмани например, насколько сложнее бы тогда взламывались бы форумы.

+2

146

kolobdur74
черртовски верно!
А еще было бы хорошо от непроверенных людей сделать вещь одну - чтобы все манипуляции администраторов и модераторов по удалению сообщений, подфорумов и категорий, проходили через главного администратора, а он одобрял или же не одобрял.)

+1

147

Rhisenn
Можно отключить в админке возможность для модераторов видеть логи и запретить модераторам удалять сообщения. Мне пришлось так сделать, когда модератор удалил на форуме ряд тем год назад. Теперь сообщения, подлежащие удалению модераторы могут только перемещать в корзину, которая доступна и видима только для меня и модераторов, а удаляю из нее сообщения уже я сама. Да, модератор может удалять тела сообщений, через редактирование, но тогда ему придется зайти в каждое сообщение темы - а это уже намного сложнее и времени намного больше займет, чем удалить первое сообщение в теме и тем самым всю тему.

Отредактировано Амаль (Вт, 8 Ноя 2011 09:34:33)

0

148

Амаль
у меня просто несколько администраторов тоже есть, а иногда случаются такие вещи, как ссоры и месть, это я сейчас не про себя, а в общем. Прецеденты были...)

0

149

Rhisenn
Из соображений безопасности на форуме должен быть только один Администратор с соответствующими правами. Всем остальным можно прописать вручную в поле администраторский статус и дать модераторские права. Будут недовольны? Тогда объясните им, что делаете это из соображений безопасности. Не поверят? Это их проблемы. И уж лучше пусть они будут такими, чем такими, которые могут возникнуть впоследствии. А там Вам решать.

0

150

Амаль
при чем здесь будут недовольны, не поверят? люди с АДМИНИСКИМИ правами нужны мне, потомучто я не все успеваю. у меня и личная жизнь и работа. это естественно. а модер в кодах не сможет сделать ничего, ибо нет доступа.

0

151

Rhisenn, простите за глупый вопрос, диз сделан, скрипты работают, а чего им там, в кодах, каждый день тогда делать?

0

152

Rhisenn написал(а):

А еще было бы хорошо от непроверенных людей сделать вещь одну - чтобы все манипуляции администраторов и модераторов по удалению сообщений, подфорумов и категорий, проходили через главного администратора, а он одобрял или же не одобрял.)

Этого, опять же, не будет. Нецелесообразно.
Модераторов выбираете вы. Администраторов выбираете вы. Если администраторы или модераторы не устраивают вас по тем или иным причинам вы вправе их снять. Однако, если у них будут права на удаление тем, установленные вами, взломом это уже считаться не будет.
Поэтому, выбирайте людей проверенных и надежных.
Помимо этого, есть на форуме ТП замечательный раздел с back-up-ами.

0

153

Очень даже целесообразно.
но раздел не тот. такие предложения надо делать тут: https://forum.mybb.ru/viewforum.php?id=2

На майбб не хватает тонких настроек прав админов и модеров.
Допустим, было бы неплохо позволять админу добавлять/удалять категории и форумы, но запретить допуск к настройкам, или, например, одним модераторам позволять только редактирование сообщений, а другим перенос или удаление тем и сообщений.
Короче, тонкие настройки групп - это очень здорово. хорошо запрещать что-то менять не на словах, а технически.

а пока у нас нет возможности тонко регулировать права доступа, админов и модеров надо отбирать проверенных. пусть человек сначала поработает как простой участник форума, а потом уже получает расширенные права доступа.
+ всегда же есть человеческий фактор. моя знакомая, например, назначила админом не злоумышленника, а просто неопытного человека, который случайно вместо того, чтоб скопировать код стиля, удалил. не весело. %-)

Отредактировано Герда (Ср, 9 Ноя 2011 03:38:22)

+1

154

Герда написал(а):

На майбб не хватает тонких настроек прав админов и модеров.

+1 Это не помешало бы. Фактически все упирается только в возможность создания групп на основе модераторов, только с более широким выбором настроек по их правам. Тогда фактически и вторые админы не нужны, а в статусе прописывая названия можно их разделить как угодно, начиная от модератора-стажера и т.д.

+1

155

Кофеман написал(а):

Фактически все упирается только в возможность создания групп на основе модераторов

а есть еще один вариант воплощения: индивидуальные настройки для конкретного администратора/модератора.
админ четко дал понять, что групп на основе модеров и админов не будет по вопросу безопасности. но можно было бы добавить в поле профиля "управление" всю необходимую опциональность.
кстати, сейчас же можно модеров допускать только к определенным разделам расставлением флажков, так почему бы то же самое не делать по отношению к админам:
допуск к страницам: да/нет
свой стиль: да/нет
удаление форумов: да/нет
редактирование форумов: да/нет
и т.п.

например, у меня лично админов развелось достаточно дофига.
но полный доступ к форуму нужен только одному из них.

а из-за вопросов безопасности пришлось всех заставлять ставить 20-ти значные пароли, заводить отдельную, незасвеченную почту и т.п.

Отредактировано Герда (Ср, 9 Ноя 2011 10:45:02)

0

156

Герда написал(а):

кстати, сейчас же можно модеров допускать только к определенным разделам расставлением флажков, так почему бы то же самое не делать по отношению к админам:допуск к страницам: да/нетсвой стиль: да/нетудаление форумов: да/нетредактирование форумов: да/нети т.п.

Ну, в принципе, да. Можно и так и было бы неплохо. Я правда не силен в скриптах, но может можно скриптом в админке скрывать определенные страницы от тех, кто перечислен в списке, по типу скрипта Deff'a допуска в категорию или форум строго по списку, но это уже нагрузка форума лишними скриптами.

0

157

Кофеман, Скриптами форум не защищен от взлома, всегда можно освободить исходный код от кодов запрета  и проникнуть в запрещенные страницы, только действия на стороне сервиса обеспечивают безопасность.
Реальных предложений пока два
Если ничего не делать: Амаль (Псевдоадмин - модератор)
И Если делать Правильно-Удобно: - Герда

Отредактировано Deff (Ср, 9 Ноя 2011 11:24:34)

+2

158

Расширенных прав групп давно не хватало на MyBB. Ни один нормальный форум без такой возможности существовать не сможет, но, как ни странно, на MyBB уже многие привыкли ;)

0

159

Верно сказано выше.
Но скрипты могут быть полезны в частных случаях: например, уберечь какую-то определенную часть админки от администратора-новичка - допустим, взяли вы в помощники человек, который не разбирается ни в чем, поставили для него ограничение, чтоб разделы мог добавлять, новости в объявление пихать, а все остальное перекрыли.
Однако опытного юзера такие скрипты не остановят. Нужно на уровне движка "колдовать".

Как думаете, имеет ли смысл вынести обсуждаемое предложение в раздел "сделаем сервис лучше"?

0

160

Герда, без Вопросов, думаю надо  дождаться решения текущих проблем, иначе тема просто затопчецо

0


Вы здесь » Единый форум поддержки » Безопасность » Защитить форум от взлома (мысли и предложения)