интересуют методы защиты административного раздела. проект самописный. пошарил по инету и только поставил пароль на админ директрию посредствам htpasswd и htaccess. по ip привязку не делал, немного не подходит.
достаточна ли эта мера? что нужно сделать для максимальной безопасности? нужно ли как то скрывать раздел от роботов?
интересны советы и\или ссылки на эту тематику.
Спустя 3 минуты, 25 секунд (9.10.2011 - 15:46) caballero написал(а):
а чего такого ценного может найти робот в твоей директории?
Поставь проверку авторизации на входе PHP файла (что для людей что для роботов) и все дела
Поставь проверку авторизации на входе PHP файла (что для людей что для роботов) и все дела
Спустя 5 минут, 26 секунд (9.10.2011 - 15:52) yurik_kkk написал(а):
caballero, пасиб за ответ.
возможно проиндексировать и что нит в этом духе... я пока не силен в этой тематике.
у меня на сайте нет входа, нужно как то от этого отталкиваться
мне важно понять грамотные механизмы защиты
возможно проиндексировать и что нит в этом духе... я пока не силен в этой тематике.
у меня на сайте нет входа, нужно как то от этого отталкиваться
мне важно понять грамотные механизмы защиты
Спустя 1 минута, 27 секунд (9.10.2011 - 15:53) XCross написал(а):
Я вообще делаю единую авторизацию, пользователей пихаю в определенные группы. Авторизовался, в зависимости от группы пользователя сменилась менюшка. А в папке admin только модифицированная точка входа(index.php), откуда подключаются необходимые модули из основной директории(www/). Там проверяется группа пользователя. Если это не админ или вообще посетитель не вошел, то говорим, что такой странички нет и все.
Ну и, конечно, создана таблица групп, где указаны права пользователя.
Ну и, конечно, создана таблица групп, где указаны права пользователя.
Спустя 6 минут, 21 секунда (9.10.2011 - 15:59) yurik_kkk написал(а):
kmaks, пасиб за ответ.
видите у меня нет авторизации при входе на сайт, как быть тогда?
видите у меня нет авторизации при входе на сайт, как быть тогда?
Спустя 1 час, 7 секунд (9.10.2011 - 16:59) XCross написал(а):
Тогда базовая аутентификация(htpasswd).
Спустя 3 минуты (9.10.2011 - 17:02) yurik_kkk написал(а):
kmaks, я так и делаю но мне интересно это единственный вариант в моем случае?
и нужно ли закрывать директорию от роботов?
и нужно ли закрывать директорию от роботов?
Спустя 2 минуты, 20 секунд (9.10.2011 - 17:05) redreem написал(а):
kmaks, такая же фигня. авторизация единая, переброс в админку при желании админа. админ - такойже юзер. мне вот ненравится на некоторых цмсках то, что нельзя одновременно юзать админку и сайт, например в дле. я для этого для админки генерю собственные, админские, куки - удобно - меняешь че-то в админке - на другой вкладке смотришь результат сразу. при это админ может быть в это время и юзером на сайте.
Спустя 6 минут, 19 секунд (9.10.2011 - 17:11) redreem написал(а):
yurik_kkk, если робот наткнется у тебя в админке на авторизацию он дальше и не сможет пройти. пропиши в корневом htaccess
вначале - php_value allow_url_fopen 0
в конце - RewriteRule ((%3A|:)25|%0D%0A) - [G]
вообще 90% мер защиты htaaccess делает.
вначале - php_value allow_url_fopen 0
в конце - RewriteRule ((%3A|:)25|%0D%0A) - [G]
вообще 90% мер защиты htaaccess делает.
Спустя 2 минуты, 46 секунд (9.10.2011 - 17:14) yurik_kkk написал(а):
redreem, можете в двух словах, что делает первое и второе?
Спустя 3 минуты, 2 секунды (9.10.2011 - 17:17) yurik_kkk написал(а):
redreem, гугл мне в помощ, нашел описание предложенного )
Спустя 7 минут, 18 секунд (9.10.2011 - 17:24) yurik_kkk написал(а):
redreem, немного не по теме хочу поинтерисоваться. вообще недопонимаю, нужно ли выставлять права доступа на файлы и папки когда буду выкладывать свой самопал?
Спустя 9 минут, 6 секунд (9.10.2011 - 17:33) XCross написал(а):
| Цитата |
| видите у меня нет авторизации при входе на сайт, как быть тогда? |
Дак там 3 строчки кода. Не парься-напиши.
Спустя 8 минут, 14 секунд (9.10.2011 - 17:42) caballero написал(а):
| Цитата |
| вообще недопонимаю, нужно ли выставлять права доступа на файлы и папки когда буду выкладывать свой самопал? |
А чего там понимать
Вот представь что робот зашел в папку
ну увидел он какие то php файлы и что?
единственный смысл это поставь no index чтобы робот не засирал поисковые данные о твоем сайте ненужной инфой
Спустя 29 минут, 22 секунды (9.10.2011 - 18:11) redreem написал(а):
незнаю, я правами доступа на файлы не заморачивался еще
Спустя 1 минута, 13 секунд (9.10.2011 - 18:12) redreem написал(а):
все серверные директории поделены на 2 категории у меня: можно извне брать файлы или нет. диерктории картинок, js-скриптов - естевенно можно. остальные все закрыты htaccessom и все.
Спустя 49 минут, 27 секунд (9.10.2011 - 19:02) VELIK505 написал(а):
| Цитата (yurik_kkk @ 9.10.2011 - 12:43) |
| всем привет! интересуют методы защиты административного раздела. проект самописный. пошарил по инету и только поставил пароль на админ директрию посредствам htpasswd и htaccess. по ip привязку не делал, немного не подходит. достаточна ли эта мера? что нужно сделать для максимальной безопасности? нужно ли как то скрывать раздел от роботов? интересны советы и\или ссылки на эту тематику. |
если стоит апач то создайть файлик .htaccess с содержимым:
Order Deny,Allow
Deny from all
Allow from xx.xx.xxx.xx
Где xxx- ваш ip адрес.
и вложить его в админскую папку будет больше чем достаточно. И оформить 403ую ошибку как 404ую чтобы путь даже не могли к админке подобрать
соответственно всем будет отдавать 404ую кроме твоего айпи (заодно и всем роботам)
Спустя 35 минут, 49 секунд (9.10.2011 - 19:37) redreem написал(а):
VELIK505
подскажи как
подскажи как
| Цитата |
| оформить 403ую ошибку как 404ую |
Спустя 10 часов, 28 минут, 10 секунд (10.10.2011 - 06:06) yurik_kkk написал(а):
redreem, сделайте свои страницы ошибок в htaccess :
ErrorDocument 404 error404.php
ErrorDocument 403 error404.php
ErrorDocument 404 error404.php
ErrorDocument 403 error404.php
Спустя 5 минут, 52 секунды (10.10.2011 - 06:11) yurik_kkk написал(а):
VELIK505, спасиб за совет по ошибкам.
у меня нет постоянного ip, провайдер разные цепляет, мне такой вариант не подойдет.
а можно какой нибуть ip придумать, и прописать его в настройке браузера, получается тогда я могу этот же ip в htaccess прописать?! хотя, нет, наверное нелзя... как вообще эта кухня работает?
у меня нет постоянного ip, провайдер разные цепляет, мне такой вариант не подойдет.
а можно какой нибуть ip придумать, и прописать его в настройке браузера, получается тогда я могу этот же ip в htaccess прописать?! хотя, нет, наверное нелзя... как вообще эта кухня работает?
Спустя 1 час, 12 минут, 14 секунд (10.10.2011 - 07:24) VELIK505 написал(а):
| Цитата (yurik_kkk @ 10.10.2011 - 03:11) |
| VELIK505, спасиб за совет по ошибкам. у меня нет постоянного ip, провайдер разные цепляет, мне такой вариант не подойдет. а можно какой нибуть ip придумать, и прописать его в настройке браузера, получается тогда я могу этот же ip в htaccess прописать?! хотя, нет, наверное нелзя... как вообще эта кухня работает? |
так нельзя. Но если у тебя нормальный интернет провайдер у него должна быть услуга реальный (белый) айпи. У нас в городе у всех провайдеров такая есть стоимость колышиться от 50 до 70р в месяц. Я за свой 50р в месяц плачу
Спустя 2 часа, 14 минут, 9 секунд (10.10.2011 - 09:38) yurik_kkk написал(а):
VELIK505, понятно.
а есть ли смысл скрывать от роботов админ раздел если он никак не связан линками с основными разделами сайта?
а есть ли смысл скрывать от роботов админ раздел если он никак не связан линками с основными разделами сайта?
Спустя 5 часов, 17 минут, 36 секунд (10.10.2011 - 14:55) VELIK505 написал(а):
нет