 [php]Jak zabezpieczacie panel administracyjny strony.., sesje, ssl, inne? |
  |
| [php]Jak zabezpieczacie panel administracyjny strony.., sesje, ssl, inne? |
 20.05.2010, 22:17:43
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 14 Pomógł: 0 Dołączył: 13.01.2009 Ostrzeżenie: (0%) 
 |
w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms.
czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne? jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej? |
 |
 
|
|
20.05.2010, 22:22:58
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Cytat(ghost2k8 @ 20.05.2010, 23:17:43 )  w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms. czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne? jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej? Zależy jaki poziom bezpieczeństwa potrzebujesz, jeżeli zwykły prosty cms to sesje. Adres - dowolny moim zdaniem. -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR
Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP |
|
|
|
|
20.05.2010, 22:23:41
Post
#3
|
|
 Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
1. Nie używam nazwy "admin".
2. Logowanie 3. Zabezpieczenie prób logowania (max 3 nieudane) 4. Ciasteczko weryfikujące tożsamość (dodaję po pierwszym poprawnym logowaniu). -------------------- Google knows the answer...
|
|
|
|
|
21.05.2010, 12:14:47
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 3 Pomógł: 0 Dołączył: 21.05.2010 Ostrzeżenie: (0%)
|
Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta.
|
|
|
|
|
21.05.2010, 12:28:44
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)
|
Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 ) Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta. A co jeżeli ktoś ma dynamiczne IP? |
|
|
|
|
21.05.2010, 12:33:21
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)
|
Cytat(tehaha @ 21.05.2010, 13:28:44 ) A co jeżeli ktoś ma dynamiczne IP? To zapisujesz w sesji, na czas trwania sesji raczej nie zmieni mu się IP. -------------------- Zainteresowania: C#, PHP, JS, SQL, AJAX, XML, C dla AVR
Chętnie pomogę, lecz zanim napiszesz: Wujek Google , Manual PHP |
|
|
|
|
21.05.2010, 12:59:12
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)
|
no ja to wiem, tylko chciałem tutaj zauważyć, że przypisywanie na sztywno numeru IP w bazie to słaby pomysł...
|
|
|
|
|
21.05.2010, 13:02:13
Post
#8
|
|
 Grupa: Zarejestrowani Postów: 706 Pomógł: 108 Dołączył: 12.03.2010 Ostrzeżenie: (0%)
|
A po co zapisywać IP w sesji?
|
|
|
|
|
21.05.2010, 13:12:44
Post
#9
|
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 ) Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta. No to ja bym sobie juz nie po "administrował" ze swoim zmiennym IP. Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic. -------------------- Google knows the answer...
|
|
|
|
|
21.05.2010, 14:30:20
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 1 748 Pomógł: 388 Dołączył: 21.08.2009 Skąd: Gdynia Ostrzeżenie: (0%)
|
Cytat(pedro84 @ 21.05.2010, 14:12:44 ) Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic. Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia http://talks.php.net/show/phpworks2004-php...ion-security/14 |
|
|
|
|
21.05.2010, 14:37:46
Post
#11
|
|
|
Grupa: Nieautoryzowani Postów: 2 249 Pomógł: 305 Dołączył: 2.10.2006 Ostrzeżenie: (0%)
|
Cytat(tehaha @ 21.05.2010, 15:30:20 ) Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia http://talks.php.net/show/phpworks2004-php...ion-security/14 No to akurat wiem, ale Autora nie podejrzewam o jakiś duży CMS. Ja i tak wolę tworzyć unikatowy identyfikator + zabezpieczenie sesji. W przypadku IP jest po prostu pomysł lekko chybiony... -------------------- Google knows the answer...
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 13.06.2025 - 06:05 |
