freefighteer Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 Собственно, заинтересовался обеспечением безопасности интернет-магазина, поделитесь кто какие методы защиты знает и дыры через которые могут взломать. Мне пока на ум только 2 способа пришли: 1. Не ставить с вареза, я еще когда еще зеленый был, и этот форум толком не знал, один модуль установил с вареза, так мне на всех карточках товаров эта пакость проставила айфреймы с переадресацией на другой мусорный сайт, пришлось помучатся, с каждой карточки удалить этот мусор ну и сам модуль. 2. Поставить доступ к фтп на хостинге только с разрешенных айпи. Встречал еще методы переименовать админку, но по мне суровому хацкеру это не помеха, разве что сканеры будут идти мимо. 1 Надіслати Поділитися на інших сайтах More sharing options...
markimax Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 1. Совершенно правильный пункт Добавлю Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется 3 Надіслати Поділитися на інших сайтах More sharing options... n3bo Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 Отчетность изменяемых файлов. Т.е. когда, что и где изменялось, следить за этим. 1 Надіслати Поділитися на інших сайтах More sharing options... freefighteer Опубліковано: 15 серпня 2016 Автор Share Опубліковано: 15 серпня 2016 n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру. Надіслати Поділитися на інших сайтах More sharing options... markimax Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 Гы :-D Зайти могут через "соседей" по серверу, взломав их 1 Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 основные моменты - здесь в дополнение: желательно использовать систему мониторинга, например такую по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии 2 Надіслати Поділитися на інших сайтах More sharing options... SlideShow Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Pingvi Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 (змінено) 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю. Змінено 10 вересня 2016 користувачем Pingvi Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд и для их работы требуется регистрация на соответствующих сайтах для понимания - просто включите и перейдите по ссылкам из их настроек Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 Как обеспечить безопасность и защиту магазина?Вообще поломать можно всё что угодно)тут даже Александр Радионович не поможет Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Alexusss Опубліковано: 5 жовтня 2016 Share Опубліковано: 5 жовтня 2016 Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 5 минут назад, IronMann сказал: Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах. Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 в момент оплаты +при условии что вы подключены к сервису фрода Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options... 3 months later... vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Как обеспечить безопасность и защиту магазина? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
n3bo Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 Отчетность изменяемых файлов. Т.е. когда, что и где изменялось, следить за этим. 1 Надіслати Поділитися на інших сайтах More sharing options...
freefighteer Опубліковано: 15 серпня 2016 Автор Share Опубліковано: 15 серпня 2016 n3bo, А не через фтп сервер это могут сделать, изменить системные файлы? Ибо теоретически закрыв доступ к фтп для всех айпи кроме своего закрывает эту дыру. Надіслати Поділитися на інших сайтах More sharing options...
markimax Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 Гы :-D Зайти могут через "соседей" по серверу, взломав их 1 Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 основные моменты - здесь в дополнение: желательно использовать систему мониторинга, например такую по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии 2 Надіслати Поділитися на інших сайтах More sharing options... SlideShow Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Pingvi Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 (змінено) 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю. Змінено 10 вересня 2016 користувачем Pingvi Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд и для их работы требуется регистрация на соответствующих сайтах для понимания - просто включите и перейдите по ссылкам из их настроек Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 Как обеспечить безопасность и защиту магазина?Вообще поломать можно всё что угодно)тут даже Александр Радионович не поможет Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Alexusss Опубліковано: 5 жовтня 2016 Share Опубліковано: 5 жовтня 2016 Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 5 минут назад, IronMann сказал: Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах. Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 в момент оплаты +при условии что вы подключены к сервису фрода Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options... 3 months later... vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Как обеспечить безопасность и защиту магазина? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
AlexDW Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 основные моменты - здесь в дополнение: желательно использовать систему мониторинга, например такую по-возможности хранить проекты на других движках (wp, modx и тп) раздельно, на другой учетной записи у хостера и поддерживать версии этих других движков в актуальном состоянии 2 Надіслати Поділитися на інших сайтах More sharing options... SlideShow Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. 1 Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Pingvi Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 (змінено) 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю. Змінено 10 вересня 2016 користувачем Pingvi Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд и для их работы требуется регистрация на соответствующих сайтах для понимания - просто включите и перейдите по ссылкам из их настроек Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 Как обеспечить безопасность и защиту магазина?Вообще поломать можно всё что угодно)тут даже Александр Радионович не поможет Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Alexusss Опубліковано: 5 жовтня 2016 Share Опубліковано: 5 жовтня 2016 Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 5 минут назад, IronMann сказал: Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах. Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 в момент оплаты +при условии что вы подключены к сервису фрода Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options... 3 months later... vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Как обеспечить безопасность и защиту магазина? Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
SlideShow Опубліковано: 15 серпня 2016 Share Опубліковано: 15 серпня 2016 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. 1 Надіслати Поділитися на інших сайтах More sharing options...
Pingvi Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 (змінено) 1. Сложные пароли и имена админских учеток. 2. Надежный хостинг. 3. Делаем каждодневный бэкап кода и базы, у нормального хостера это есть автоматом. 4. Ставим минимум модулей. 5. Ограничиваем и контролим всех лиц которые работаю с магазином - пароли, права доступа, лучше исключить по-максимому. Расскажите об ответствености. 6. На приличном хостинге есть логи, смотрим активность, если что-то подозрительное - смотрим чем интересовались, если не разбираетесь, забейте, это лишнее. 7. Один хостинг - один магазин, не храните в одной учетке более одного проекта, жадность фраера погубит. 8. Всякие шляпы типа дос-атак, sql-иньекций, загрузки файлов - не для новичков, можно забить, помним про бэкапы, если вас захотят - возьмут, дело во времени и деньгах. 9. Почитайте про .htpasswd, но это право лишнее. 10.Да, путь к админке другой, вырезать упоминание что у вас opencart, но это не отгородит от ПРО, да и гемморно, в общем проходите мимо. 11.Будьте внимательны с копированием тектсов, скриптов с других сайтов, можно что-то скопировать лишнее. 12.Конечно ворованный код брать у вора, что получим - да, украли и у вас. В общем не жадничайте, здравый смысл и все будет отлично, вы же не цукерберг, ну чего у вас там брать, только школьникам побаловаться. А что скажите насчет модулей, которые по умолчанию установлены в ocStore в разделе "дополнения - защита". Модули: FraudLabs Pro, Anti-Fraud IP, MaxMind Anti-Fraud. Есть ли от них толк? Включать все, либо отдельно? Либо вообще забить на них? Благодарю. Змінено 10 вересня 2016 користувачем Pingvi Надіслати Поділитися на інших сайтах More sharing options...
AlexDW Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 это модули для защиты от мошенничества при оплате - например использования краденных данных кредитных карт и тд и для их работы требуется регистрация на соответствующих сайтах для понимания - просто включите и перейдите по ссылкам из их настроек Надіслати Поділитися на інших сайтах More sharing options... HyperLabTeam Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 Как обеспечить безопасность и защиту магазина?Вообще поломать можно всё что угодно)тут даже Александр Радионович не поможет Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... Alexusss Опубліковано: 5 жовтня 2016 Share Опубліковано: 5 жовтня 2016 Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 Надіслати Поділитися на інших сайтах More sharing options... 4 months later... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 5 минут назад, IronMann сказал: Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах. Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 в момент оплаты +при условии что вы подключены к сервису фрода Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options... 3 months later... vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Питання безпеки Как обеспечить безопасность и защиту магазина?
HyperLabTeam Опубліковано: 10 вересня 2016 Share Опубліковано: 10 вересня 2016 Как обеспечить безопасность и защиту магазина?Вообще поломать можно всё что угодно)тут даже Александр Радионович не поможет Надіслати Поділитися на інших сайтах More sharing options...
Alexusss Опубліковано: 5 жовтня 2016 Share Опубліковано: 5 жовтня 2016 Подскажите, имеет ли смысл ставить для защиты админки вот этот модуль - http://www.opencart.com/index.php?route=extension/extension/info&extension_id=24045&filter_search=secure&filter_license=0&filter_download_id=43 Надіслати Поділитися на інших сайтах More sharing options...
IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Надіслати Поділитися на інших сайтах More sharing options...
Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 5 минут назад, IronMann сказал: Если кто использовал Anti-Fraud модули - в какой момент они срабатывают? Они проверяют данные покупателя в момент подтверждения заказа и меняют статус, если что-то нашли в своих базах. Надіслати Поділитися на інших сайтах More sharing options...
AlexDW Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 в момент оплаты +при условии что вы подключены к сервису фрода Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options... Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options... IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options... 3 months later... vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options... 4 weeks later... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
IronMann Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 (змінено) Я понял, спасибо! Как раз этот момент и интересовал. Не совсем к исходной постановке вопроса, но в моей практике, "левые" заказы это: 1) Заказы, состоящие из бестолковых данных типа ФИО "dffdfdfdgdfg" адрес: "flglghlghlbdf" , которые создаются людьми "мимо проходил, дай, посмотрю, как здесь магаз работает". 2) Заказы от людей, попавших за те или иные действия в "чёрный список". 3) Заказы, сгенерированные спам-ботами. Критерии фильтрации - регулярные выражения для п.1, ФИО / адрес / телефон / e-mail для п.2 и IP лист для п.3 "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. Проблема не так, чтобы стоит остро, но в плане хотелок на будущее, данный набор требований может послужить как ТЗ для фрод-модуля. Змінено 9 лютого 2017 користувачем IronMann Надіслати Поділитися на інших сайтах More sharing options...
Dotrox Опубліковано: 9 лютого 2017 Share Опубліковано: 9 лютого 2017 31 минуту назад, IronMann сказал: данный набор требований может послужить как ТЗ для фрод-модуля. Ну, это не имеет отношения к фроду (по крайней мере пункты 1 и 3). По второму пункту подойдут и существующие модули антифрода, их смысл как раз в поиске данных покупателя по их базе мошенников, краденых карточек и т.д. 36 минут назад, IronMann сказал: "Вшитый" в сборку ocStore бесплатный фрод-модуль фильтрует только по IP. А вы уверены, что у вас ocStore? В отличии от некоторых других сборок, здесь, как и в оригинальном ОК из коробки три модуля. Помимо модуля ip есть ещё и fraudlabspro и maxmind. Надіслати Поділитися на інших сайтах More sharing options...
IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Да, разумеется, но они лицензионные и для работы требуют ввода соответствующих ключей. И решают немного не те задачи, о которых я говорил выше. В частности, вряд ли можно считать мошенническими заказы от людей, которые постоянно что-то заказывают, но заказы свои не выкупают. После трёх-четырёх неоплаченных заказов подряд, я перестаю принимать заявки от таких персонажей. Сейчас это делается пометками в клиентском справочнике, но время на ручную обработку всё равно уходит. Надіслати Поділитися на інших сайтах More sharing options...
Dotrox Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 8 часов назад, IronMann сказал: они лицензионные и для работы требуют ввода соответствующих ключей У FraudLabsPro есть бесплатный тариф. В любом случае, полностью свободный (без ключей) доступ к своей базе никто не даст. 8 часов назад, IronMann сказал: постоянно что-то заказывают, но заказы свои не выкупают Ну, для таких случаев можно использовать внутреннюю базу. То есть, прикрутить к списку покупателей кнопку добавления в чёрный список и по аналогии с существующими модулями антифрода сделать модуль, который будет этот список проверять. Надіслати Поділитися на інших сайтах More sharing options...
IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Сам в PHP и MVCL не силен настолько, чтобы написать модуль с нуля, но мог бы всю алгоритмику и интерфейс разработать, если кто-нибудь захочет тандем составить. Если это вообще, конечно, кому-то кроме меня в перспективе нужно. Надіслати Поділитися на інших сайтах More sharing options...
IronMann Опубліковано: 10 лютого 2017 Share Опубліковано: 10 лютого 2017 Для ветряных мельниц много, для злободневной проблемы - недостаточно. Уже чуть выше написал - было бы неплохо в будущем. Думаю вообще взять штатный IP фильтр-модуль и дописать в него нужный функционал. Надіслати Поділитися на інших сайтах More sharing options...
vmax1 Опубліковано: 21 травня 2017 Share Опубліковано: 21 травня 2017 В 15.08.2016 в 21:44, markimax сказал: Не разрешать пользователям загружать файлы не сервер К примеру загружать картинки к отзывам и т п И суть не безопасном коде модуля. Любую загрузку на сервер хакер может перехватывать на уровне сервера и если у него есть пробои, он ими воспользуется Если Вас не затруднит, просветите, как это сделать. Спасибо. Надіслати Поділитися на інших сайтах More sharing options...
l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 тема актуальна и сейчас.. интересует вопрос изменения пути к админке, а именно переименование папки админ.. данную манипуляцию я проводил на ocStore 2.3 поправил пути в конфиге в папке админ .. все работает, только вот внести любые изменения нет возможности.. а убрать вход в админку по схеме домен/admin очень хочется .. что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options...
AlexDW Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 23 минуты назад, l1key сказал: что посоветуете ? Надіслати Поділитися на інших сайтах More sharing options... l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options... Назад 1 2 Вперед Сторінка 1 з 2 Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 0
l1key Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 (змінено) 1 час назад, AlexDW сказал: то есть при обращении домен/admin директория будет доступна только определенному IP ? а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? а можно если не сложно код ) большое спасибо заранее. погуглил нашел инструкцию пока мучаюсь ) с созданием фала с ключами.. может у вас есть какая инструкция ? Змінено 19 червня 2017 користувачем l1key Надіслати Поділитися на інших сайтах More sharing options...
Shureg Опубліковано: 19 червня 2017 Share Опубліковано: 19 червня 2017 28 минут назад, l1key сказал: а если у меня допустим нет выделенного IP мне каждый раз нужно будет прописывать в htasccess новый IP ? Да сделайте двойную авторизацию (как вам писали, htaccess htpasswd, в гугле по этим словам руководств море ) и не забивайте себе голову. Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts