[Поддержка] Защита от вирусов и хакеров

[gregoro]

Добрый день!

Поясните плз вот этот момент:

В 14.01.2018 в 15:00, ArtemPitov сказал:

Модуль не даст попасть в админку, тем самым исключаться возможность взлома и подбора паролей, даже при самом слабом пароле или при угоне данных не должно возникнуть проблем с безопасностю.

Не даст попасть в админку за счет чего? Секретного ключа в адресе?

Т.е. злоумышленник сначала:

а) должен узнать секретный ключ и попасть в админку

б) дальше либо угнать пароль, либо сбрутить его (и тут уже гугл капча ему клин вставит).

Верно мысль понял?

IP пока не рассматриваю - бывает в поездках захожу когда срочно нужно. Там сам от себя закрою получается.

[ArtemPitov]

1 час назад, gregoro сказал:

Добрый день!

Поясните плз вот этот момент:

Не даст попасть в админку за счет чего? Секретного ключа в адресе?

Т.е. злоумышленник сначала:

а) должен узнать секретный ключ и попасть в админку

б) дальше либо угнать пароль, либо сбрутить его (и тут уже гугл капча ему клин вставит).

Верно мысль понял?

IP пока не рассматриваю - бывает в поездках захожу когда срочно нужно. Там сам от себя закрою получается.

Здравствуйте, да,чтобы попасть в админку нужен будет секретный ключ 

 

Капча усложнит перебор паролей 

[chukcha]

2 минуты назад, ArtemPitov сказал:

да,чтобы попасть в админку нужен будет секретный ключ 

А если забыл? Потерял?

Капча в админку? Тем более Гкапча?

offtop
- Береженого бог бережет, сказала монашка и одела презерватив на морковку

/offtop

[ArtemPitov]

19 минут назад, chukcha сказал:

А если забыл? Потерял?

Востановить через базу или через фтп 

 

20 минут назад, chukcha сказал:

Капча в админку? Тем более Гкапча?

Есть и ip блокировка

 

20 минут назад, chukcha сказал:

offtop

Модуль это не защита от всех дых, хотя я работаю сейчас на больше масштабным вариантом, но это также не панацея от всех болезней

 

[gregoro]

1 час назад, chukcha сказал:

А если забыл? Потерял?

Капча в админку? Тем более Гкапча?

Про забыл/потерял - ну и пароль можно забыть и потерять  

А чем гкапча плоха по-вашему? Интересно ваше мнение

[chukcha]

51 минуту назад, gregoro сказал:

ну и пароль можно забыть и потерять

но не секретный ключ

Восстановить паролт логин - два клика
а вот секретный ключ, а тем более если не знаешь еще как , и есть ли он
 

 

52 минуты назад, gregoro сказал:

А чем гкапча плоха по-вашему?

Внешний сервис в админке - уже плох
Вот забанят Г..  - войдите в даминку..

Поверьте.. капча всегда плохо.
Для админки, можно динамически генерировать   имена полей..
Таким образом, можно 100% отсеять ботов с чистым пост запросом, без вызова формы

Есть и другие способы/методы определения Человека.

[gregoro]

2 минуты назад, chukcha сказал:

Восстановить паролт логин - два клика
а вот секретный ключ, а тем более если не знаешь еще как , и есть ли он

Тут в принципе согласен. 

Я пароль (бывало что про**ывал) прямой записью в БД восстанавливаю.

Ставлю qwerty (записано как он в зашифрованном виде будет), потом логинюсь и на свой меняю.

 

Про капчу - услышал вас, спасибо.

 

По отсеиванию человека в админке - тут на мой взгляд все чуть многограннее.

Могут ломать:

а) всех подряд (ip-сканнер=>обнаружен opencart=>включается переборщик). У меня так, например, сайт на wordpress ломанули в свое время. Там был чисто сайт для "упражнений" (закрыт к индексации). И пароль стоял типа 12345. Через недельку оприходовал кто-то меня.

От такого говна реально нормальный пароль спасает. Сбрутить его - нужны годы. По словарю не подобрать.

 

б) ломают чисто тебя (типа конкурент заказал). 

Вот тут уже будут сначала ручками заходить и смотреть что там у тебя. Если генерация полей та же стоит - допишут как надо. Сначала поля запросят, потом вводить будут.

 

У меня пока стоит предавторизация. Чтобы попасть на страницу залогинивания в админке, тоже нужно ввести имя/пароль.

Даже если брутить, то сложновато придется как я понимаю. Две пары логин/пароль.

Ибо вероятность 1/100 и 1/100 при умножении дает уже 1/10000.

 

Просто шарюсь, смотрю где еще соломки подстелить. Конкуренция в нашем секторе уплотняется, были терки уже легкие. Тылы стоит прикрыть.

[ArtemPitov]

24 минуты назад, gregoro сказал:

Просто шарюсь, смотрю где еще соломки подстелить. Конкуренция в нашем секторе уплотняется, были терки уже легкие. Тылы стоит прикрыть.

тылы не только админкой нужно прикрывать, в новой версии я добавлю мониторинг изменения файлов, логирование, авто смену паролей, и автоматическую блокировку ip, это все в процессе  

[gregoro]

Только что, ArtemPitov сказал:

тылы не только админкой нужно прикрывать, в новой версии я добавлю мониторинг изменения файлов, логирование, авто смену паролей, и автоматическую блокировку ip, это все в процессе  

Подпишусь тогда на изменения данного дополнения  

[HyperLabTeam]

В 14.01.2018 в 17:52, Djek сказал:

Хорошая штука, кстати уже годами проверена, правда на других движках совсем. Хотелось бы выразить пожелание разработчику - предоставить возможность выбора страницы переадресации. На джумле например принято отправлять "бруталов" лезущих в site.com/admin на главную страницу сайта. Логика тут простая - раз уж пришли гадить - то пусть поработают над поведенческим фактором немножко, хоть какая то польза от них.)

а можно вообще перебирать каждый раз ссылки из сайтмапа))

[gregoro]

А какие ПФ это может накрутить? Бруталы же метрикой как роботы определяются. И в статистике участия не принимают. Они даже как посетители не определяются.

Змінено 14 січня 2019 користувачем gregoro

[Fiesta]

Под 3 версию будет адаптация?

[nova777]

Здравствуйте! Заинтересовал ваш модуль. У меня на данный момент стоит модуль GixOC.ru - Admin Security: reCaptcha / реКапча 

Скажите, ваш модуль будет работать вместе с ним или его обязательно нужно удалить, прежде чем ваш поставить?

[ArtemPitov]

4 часа назад, nova777 сказал:

Здравствуйте! Заинтересовал ваш модуль. У меня на данный момент стоит модуль GixOC.ru - Admin Security: reCaptcha / реКапча 

Скажите, ваш модуль будет работать вместе с ним или его обязательно нужно удалить, прежде чем ваш поставить?

Здравствуйте, если капчу не включать, должен работать 

[Dontmatter12]

Скажите, поддержку Yubico будете делать? Самая нормальная 2fa из ныне существующих.

[ArtemPitov]

1 час назад, Dontmatter12 сказал:

Скажите, поддержку Yubico будете делать? Самая нормальная 2fa из ныне существующих.

в планах гугловская, я посмотрю на этот вариант 

[kimk]

В 11.02.2019 в 20:43, Fiesta сказал:

Под 3 версию будет адаптация?

присоединяюсь к вопросу.

для окстора 3 актуально ли такое?

[ArtemPitov]

@kimk пока не планирую, но я думаю будет и под 3 

[Djek]

В 14.01.2019 в 09:52, gregoro сказал:

А какие ПФ это может накрутить? Бруталы же метрикой как роботы определяются. И в статистике участия не принимают. Они даже как посетители не определяются.

Вообще по разному бывает, но если вдруг всё так серьёзно, так хоть в пешее эротическое их отправлять на всем известные сайты с низкой социальной ответственностью. Если была бы такая возможность.

В любом случае с какой нибудь переадресацией вы не будете выглядеть такой уж лёгкой добычей

Змінено 4 квітня 2019 користувачем Djek

[Sergeevich]

Автор загляните в ЛС

[ArtemPitov]

@Sergeevich не вижу Вас в ЛС, создайте новую беседу 

[Guava]

Артем, здравствуйте, свяжитесь пожалуйста в скайпе, когда будет время. С модулем проблема, не могу попасть в админку, т.к. после логина кидает на 404. Ничего не менялось на сайте, разумеется. Лог, пас, тоже. Не могу понять причину. 

Написал в чат.

[ArtemPitov]

@Guava отписал 

[Guava]

вопрос исчерпан, не из-за модуля. Модуль работает отлично

[ogomor]

Приветствую.

У меня вопрос, а модуль использует этот метод?

 

В 05.11.2019 в 16:10, gavriem сказал:

не проще в .htaccess перенести админку

RewriteCond %{HTTP_REFERER} !http://site/admin/
RewriteCond %{QUERY_STRING} !^123456789
RewriteRule ^.*admin/? /not_found [R,L]

 

выйдет http://site/admin/?123456789

 

Планируется ли обновление модуля?