Сайт-машины, форумные движки и т.п., Обсуждение, сравнение, отзывы админов и пользователей Опции

[Iron Bug]

ты уже её вдоль и поперёк излазила??

вопросы логинов и SSL - да. это я ещё до установки провентилировала и потом ещё код просматривала. логин в SSL сессии, с авторизацией по IP - ноль процентов риска. разве что профессиональная атака с подменой IP, но это ограничено таймаутами и сразу идёт уведомление хозяину логина и админу.
а в остальном попортить фор могут только флэши и скрипты. но они отключены. ну если уж совсем паранойя одолеет - прикручу к нему самописный мега-фильтр всех попыток вложения чего бы то ни было скриптового (был написан ещё во времена самопальных сайтов и форумов)

Сообщение отредактировал Iron Bug - 19.10.2010, 9:06

[ViGOur]

по каким, например? можешь привести примеры.

Не удобная админка, в которой не все так очевидно.
Скинов много да, но под себя затачивать сложности.
Аякс конечно дело удобства и красоты, но все же я его так же не наблюдал. (сейчас может что и изменилось.)
Модов много, но в основном они какие-то не доделанные (сейчас уже не помню, что именно, по крайней мере осталось такое впечатление, когда я его ставил и изучал).
Да и ломаю его частенько, тот же прогорг на моей памяти ломали 2 раза, 1 раз вроде как бага была с аваторами, второй раз несколько месяцев назад, в чем бага была не знаю, но скрипт по загрузке вируса повесили, в футер форума.
Да и когда я тестировал SMF, на некоторое время забил-забыл на него и он висел на одном из моих тестовых доменов около месяца, когда я к нему вернулся, то увидел ДЕФЕЙС...

Всего честно говоря не упомнишь, но впечатление от него хорошего не было. Разве что скорость хорошая, это да.

я программист. я ОЧЕНЬ сомневаюсь, что фор с проверкой логина по IP можно сломать.

Логин тут почти и не причем, сломать можно и не логинясь используя определенные дырки в том же поиске, загрузке файлов, аваторов и прочее (при загрузке конечно же в основном нужен логин, но в данном случае можно честно зарегистрироваться на форуме ). А проверка IP и прочая дребедень ничего не дает, сущетвует куча анонимных прокси, анонимайзеров, платных VPN серверов с большой цепочкой и прочего, которые даже на платное основе стоят просто копейки и сводят на нет все эти шаманства с фильтрациями и банами IP!

разве что профессиональная атака с подменой IP, но это ограничено таймаутами и сразу идёт уведомление хозяину логина и админу.

Брут форс (подбор паролей) используется пионерами, и он дохнет на грамотном пароле, с использованием букв, цифр и спецсимволов, а если использоать и ALT-цифры символы да при большой длине пароля, то шансов 0.
Перехват трафика и прочую лабуду распознают провайдеры на подходе и примут меры, нынешние железки их вычисляют за раз, а при использовании SSL сетртификатов их лучше покупать, так как бесплатные частенко ломают, что сводит безопстность SSL на нет. По платным пока не видел свидетельств...

ДА и если грамотные люди будут ломать, то как бы не ухищрялся, то сломают (вон недавно ломанули касперского и дефейснули его с редиректом на другой сайт с вирусяками), защита нужна от пионеров, от профи, спасет только выдернутый сетевой шнур, ну и firewall для самоутверждения!

[ufna]

SMF ломают, не знаю как в 2 версии, но 1.х ломали постоянно, и это в принципе не удивительно, он еще только развивается.

В принципе, по большинству согласен с ViGOur

[kwisp]

ДА и если грамотные люди будут ломать, то как бы не ухищрялся, то сломают (вон недавно ломанули касперского и дефейснули его с редиректом на другой сайт с вирусяками)

ОФФ:

друг ссылку присылал на сайт, по-моему Альфабанка, так его сломали и подменили только гиф.анимацию на главной странице - там человечики в доме ходили. Так хак не сразу заметный был - чуваки поначалу ходили как обычно, а потом начинали заниматься диким сексом. Так Хак на сайте не один день провисел, веселя народ.

Причина редактирования: off

[Iron Bug]

А проверка IP и прочая дребедень ничего не дает, сущетвует куча анонимных прокси, анонимайзеров, платных VPN серверов с большой цепочкой и прочего, которые даже на платное основе стоят просто копейки и сводят на нет все эти шаманства с фильтрациями и банами IP!

ещё как даёт. проверка логина по IP, даже если это домен - уже плюс. я говорю не про баны, а про то, что юзер запрещает свой логин с других айпишников, кроме тех, которые он сам проставит.

ДА и если грамотные люди будут ломать, то как бы не ухищрялся, то сломают (вон недавно ломанули касперского и дефейснули его с редиректом на другой сайт с вирусяками), защита нужна от пионеров, от профи, спасет только выдернутый сетевой шнур, ну и firewall для самоутверждения!

это лишь проблемы администрирования. хороший админ не позволит такого разгильдяйства. я работала с банками, с крупными порталами. никакого бардака не было, хотя атаки сыпались - будь здоров. трезвая голова и некривые руки у администратора сервера - решение всех проблем ну и естественно - всё под никсами. про венду на сервере и речи быть не может.

так его сломали и подменили только гиф.анимацию на главной странице

видишь ли, гиф-анимация может висеть на другом сервере вообще. а взломать настоящий сервер банка - дело очень сложное.

Сообщение отредактировал Iron Bug - 25.10.2010, 7:30

[ufna]

ещё как даёт. проверка логина по IP, даже если это домен - уже плюс. я говорю не про баны, а про то, что юзер запрещает свой логин с других айпишников, кроме тех, которые он сам проставит.

честно говоря это конечно плюс, но у большинства пользователей айпи динамический, поэтому проверка по айпи для форума - малоиспользуемо и особо от взлома не защищает


ну а про банки - серваков много, естесственно что "денежные" никто пока не ломал скорее всего, но клиентские - сайт и альфа-клик - ломали.

[Iron Bug]

честно говоря это конечно плюс, но у большинства пользователей айпи динамический, поэтому проверка по айпи для форума - малоиспользуемо и особо от взлома не защищает

это защищает, конечно, не сервер, а прайваси юзеров. и только. но в админских целях уже лучше. а безопасностью сервера занимается не сам форум, конечно. а совершенно другие утилиты и фильтры. в форуме могут быть неизученные места и какие-то мелкие дыры, но своевременный бэкап и устойчивая к взлому система - гарантия спокойного сна администратора
что касается динамических айпи... я их крайне редко встречаю. а на своих форумах анонимайзеры я просто запрещаю. ибо нефиг. не вижу смысла нормальному человеку скрываться от админа. это как тонировка на машине - дурь и психопатия

ну а про банки - серваков много, естесственно что "денежные" никто пока не ломал скорее всего, но клиентские - сайт и альфа-клик - ломали.

а вот это уже либо недоработка программистов, либо косяки админов. честно говоря, судя по тенденции, программисты всё хуже и хуже, а админы и подавно ну это я так... ворчу

Сообщение отредактировал Iron Bug - 25.10.2010, 9:57

[kwisp]

видишь ли, гиф-анимация может висеть на другом сервере вообще. а взломать настоящий сервер банка - дело очень сложное.

возможно.
только можно нанести банку урон в средствах, а можно в иммидже. такой хак сразу отразился на катировках ценных бумаг и прочего. кто то продал кто-то скупил. хак убрали - катировки медленно поползли вверх.

[ufna]

ну я не знаю насколько у меня сейчас постоянный айпи, но в Кургане у нас выделенный айпи очень редок, в основном - динамический, что часто доставало на форумах, которые при смене айпи предлагают снова логиниться