יש דרך לאבטח את ה ADMIN PAGE?
- פותח הנושא tkz
- פורסם בתאריך
אוקי
אחרי מחקר קטן מצאתי כמה שיטות. הטובה ביותר היא כזו : (בהנחה שאתה עובד על שרת APACHE) יש לאפצ´י מודול בשם htaccess שמבצע authentication (בדר"כ מותקן תמיד). אתה יכול להתקין מודול נוסף על השרת שמחבר את הhtaccess לשרת MYSQL,אבל לא חובה,אפשר להשתמש בבסיס נתונים בצורת קובץ. מה זה נותן לך בעצם? אתה מכיר את המסכי POPUP של שם וסיסמא ? זה מה שזה עושה. אתה משייך את המנגנון הזה לקובץ php שלך. מחברים את זה לתוכנית ע"י משתני $PHP_AUTH_USER - $PHP_AUTH_PW. וככה אתה יכול לבנות מנגנון autherization מורחב. לסיכום: 1. יש לך מנגנון ראשון של השרת APACHE עצמו, מנגנון חזק מאוד אמין וקשה לפריצה יחסית ןהכי חשוב, בחינם (בכסף תמיד תשיג משהו יותר חזק ויותר טוב). 2. בתוכנית עצמה אתה יכול לתת אפשרויות (אם תכנתת את זה כמובן) ע"פ השם שהוכנס למערכת. אתה לא צריך לוודא סיסמא כי המנגנון הקודם כבר אישרר את זה (ככה אתה לא משדר שוב סיסמאות ברשת,בייחוד כשהן בclear text) זהו בגדול. אפשר כמובן לאבטח עוד את המערכת ע"י שימוש בSSL אבל זה דורש עוד דברים(ממש לא סיפור גדול) מיכה
אחרי מחקר קטן מצאתי כמה שיטות. הטובה ביותר היא כזו : (בהנחה שאתה עובד על שרת APACHE) יש לאפצ´י מודול בשם htaccess שמבצע authentication (בדר"כ מותקן תמיד). אתה יכול להתקין מודול נוסף על השרת שמחבר את הhtaccess לשרת MYSQL,אבל לא חובה,אפשר להשתמש בבסיס נתונים בצורת קובץ. מה זה נותן לך בעצם? אתה מכיר את המסכי POPUP של שם וסיסמא ? זה מה שזה עושה. אתה משייך את המנגנון הזה לקובץ php שלך. מחברים את זה לתוכנית ע"י משתני $PHP_AUTH_USER - $PHP_AUTH_PW. וככה אתה יכול לבנות מנגנון autherization מורחב. לסיכום: 1. יש לך מנגנון ראשון של השרת APACHE עצמו, מנגנון חזק מאוד אמין וקשה לפריצה יחסית ןהכי חשוב, בחינם (בכסף תמיד תשיג משהו יותר חזק ויותר טוב). 2. בתוכנית עצמה אתה יכול לתת אפשרויות (אם תכנתת את זה כמובן) ע"פ השם שהוכנס למערכת. אתה לא צריך לוודא סיסמא כי המנגנון הקודם כבר אישרר את זה (ככה אתה לא משדר שוב סיסמאות ברשת,בייחוד כשהן בclear text) זהו בגדול. אפשר כמובן לאבטח עוד את המערכת ע"י שימוש בSSL אבל זה דורש עוד דברים(ממש לא סיפור גדול) מיכה
תודהעוץליגוץלי
New member
לא מסכים אתך (פריצת HTACCESS)
משום ששם המשתמש והססמה אינם עוברים על שכבה מוצפנת, כל סניפר הכי פשוט מפענח את זה. כמו כן, יש להביא בחשבון שמנגנון הדקדםמ של PHP מסתמך על עוגיות (בעצם גם של ASP), כך שאם התא עובד בלי עוגיות, לא תוכל להכנס.
משום ששם המשתמש והססמה אינם עוברים על שכבה מוצפנת, כל סניפר הכי פשוט מפענח את זה. כמו כן, יש להביא בחשבון שמנגנון הדקדםמ של PHP מסתמך על עוגיות (בעצם גם של ASP), כך שאם התא עובד בלי עוגיות, לא תוכל להכנס.
היי
לאהבנתי את הקטע עם העוגיות. בקשר ל HTACCESS, ברור שאם אני שם סניפר אני אדע שם וסיסמא. רוב שירותי האינטרנט לא עובדים בצורה מוצפנת. בניגוד למה שאומרים,ממש ממש ממש לא קל לשים שניפר ברשת,בייחוד ברשת חדישה וכשהשרת נמצא בחדר סגור. חוץ מזה,אם אני רוצה אבטחה מקסימאלית אני תמיד יכול להרים את האתר על SSL. ככה הוא כן יהיה מוצפן. מיכה
לאהבנתי את הקטע עם העוגיות. בקשר ל HTACCESS, ברור שאם אני שם סניפר אני אדע שם וסיסמא. רוב שירותי האינטרנט לא עובדים בצורה מוצפנת. בניגוד למה שאומרים,ממש ממש ממש לא קל לשים שניפר ברשת,בייחוד ברשת חדישה וכשהשרת נמצא בחדר סגור. חוץ מזה,אם אני רוצה אבטחה מקסימאלית אני תמיד יכול להרים את האתר על SSL. ככה הוא כן יהיה מוצפן. מיכה
Copyright©1996-2021,Tapuz Media Ltd. Forum software by XenForo® © 2010-2020 XenForo Ltd.