1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

1.2.1 Защищаем админку XenForo

Тема в разделе "Советы, руководства и видео-уроки", создана пользователем Romchik®, 31.05.2011.

Загрузка
  1. Denel

    Denel Местный

    Регистрация:
    16.11.11
    Сообщения:
    295
    Симпатии:
    112
    Версия XF:
    1.5.9
    Спасибо за инструкцию. Использую второй вариант, т.к. он самый легкий из всех. При обновлении форума меньше гемороя будет с правкой файлов.
     
  2. Anatoliy

    Anatoliy Местный

    Регистрация:
    26.09.12
    Сообщения:
    70
    Симпатии:
    9
    Версия XF:
    1.1.3
    Я сделал так, в файл admin.php сразу после
    PHP:
    <?php
    прописал
    PHP:
    $login="moderator";
    $password="удалено";
    if (!isset(
    $_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
    header('WWW-Authenticate: Basic realm="Admmin Panel"');
    header('HTTP/1.0 401 Unauthorized');
    exit(
    "Access Denied");}
    Пароль генерируем с помощью md5 здесь

    Не знаю как кому, но лично мне так удобнее всего.
    Использую на всех своих сайтах.
     
  3. Pepelac

    Pepelac Продам луц в бутылках

    Регистрация:
    28.09.10
    Сообщения:
    1 794
    Симпатии:
    1 361
    Никогда не выкладывайте свои пароли, даже зашифрованные в md5.
    Почитайте о радужных таблицах, коллизиях — поймете, о чем я говорю.
    У меня ушло пару минут, чтобы нагуглить декрипторы md5 и по хешу, который вы указали, получить исходную строку. Лучше использовать алгоритм sha и все пароли дополнительно "подсаливать".
     
  4. Anatoliy

    Anatoliy Местный

    Регистрация:
    26.09.12
    Сообщения:
    70
    Симпатии:
    9
    Версия XF:
    1.1.3
    А кто сказал что это мой пароль? Ну и кроме того как я не сношался с методом 2 всё равно не авторизует

    Ну а тут Я думаю не всем понятно, не все понимают о чём речь
     
  5. Pepelac

    Pepelac Продам луц в бутылках

    Регистрация:
    28.09.10
    Сообщения:
    1 794
    Симпатии:
    1 361
    "Соль" в криптографии — дополнительный текст, который добавляется к самому паролю и потом полученная строка кодируется. Тем самым повышается стойкость полученного хэша. Подробнее на википедии
     
  6. CyberAP

    CyberAP Местный

    Регистрация:
    05.10.10
    Сообщения:
    2 604
    Симпатии:
    1 660
    Версия XF:
    1.5.10
    md5 уже очень давно не является надёжным алгоритмом шифрования пароля, получив такой хэш не составит труда его взломать.
    Как современный вариант защиты - уникальная формула с применением SHA2 и соли.
     
  7. donvictorio

    donvictorio Местный

    Регистрация:
    05.05.12
    Сообщения:
    22
    Симпатии:
    7
    Версия XF:
    1.1.3
    только потому, что все идиотские пароли давно в свободном доступе.
    а если учесть, что безопасность штука комплексная, то доже сам факт увода хеша пароля уже достаточен, чтобы посыпать кое-кому "солью" кое что :)
    пароли типа таких OvWy+UA<*[v\F=>vgBW%kjkx[E в md5 расшифровать не особо легко.
     
  8. SeM13

    SeM13 Создатель системы

    Регистрация:
    05.01.11
    Сообщения:
    747
    Симпатии:
    258
    Версия XF:
    1.1.3
    Запомнить такой пароль так же сложно. Держать его в голове.:)
     
  9. donvictorio

    donvictorio Местный

    Регистрация:
    05.05.12
    Сообщения:
    22
    Симпатии:
    7
    Версия XF:
    1.1.3
    держать в голове нет смысла, есть достаточно хороших менеджеров паролей.
     
  10. CyberAP

    CyberAP Местный

    Регистрация:
    05.10.10
    Сообщения:
    2 604
    Симпатии:
    1 660
    Версия XF:
    1.5.10
    Вы уверены? Две мощных CUDA карточки и ваш пароль будет разгадан в течение одного дня.
     
  11. donvictorio

    donvictorio Местный

    Регистрация:
    05.05.12
    Сообщения:
    22
    Симпатии:
    7
    Версия XF:
    1.1.3
    хоть целый датацентр с CUDA карточками. MD5 не взламываются, а сравниваются. тоесть предварительно нужно сгенерировать подобную последовательность знаков, зашифровать в MD5, а потом сравнить с имеющимся хешем. так как в этой последовательности (большие-маленькие-цифры-знаки-20 символов) 10^126 степени значений, несложно подсчитать, что 2 карточки с этим явно не справятся. а если у меня стоит md5(md5), то даже без соли ну его н.
    существующие сервисы по "взлому" md5 собсвенно не взламывают ничего, а просто непрерывно кодируют произвольные наборы символов и сохраняют в базу данных. потом, по запросу, бесплатно или за уе предоставляют услугу "взлома". с каждым днём база растёт, но всего один дополнительный символ в пароле надолго отдаляет возможность взлома хеша.
     
  12. mace

    mace Новичок

    Регистрация:
    01.10.12
    Сообщения:
    1
    Симпатии:
    0
    Версия XF:
    1.1.2
    Добрый вечер у меня короче из-за:

    <Files admin.php>
    Order deny,allow
    Deny from all
    Allow from 121.222.33.44
    </Files>

    Весь сайт 404
    Удалил все равно...
     
  13. Pepelac

    Pepelac Продам луц в бутылках

    Регистрация:
    28.09.10
    Сообщения:
    1 794
    Симпатии:
    1 361
    А как же коллизии?
     
  14. donvictorio

    donvictorio Местный

    Регистрация:
    05.05.12
    Сообщения:
    22
    Симпатии:
    7
    Версия XF:
    1.1.3
    а они настолько редки, что их можно не учитывать. одинаковых паролей в существующих публичных системах намного больше, чем коллизий.
    (и напомню, это всё без соли, с ней, ессно, на порядки всё усложняется в плане подбора)
     
  15. sa1nt

    sa1nt Местный

    Регистрация:
    01.03.12
    Сообщения:
    20
    Симпатии:
    1
    Версия XF:
    1.1.3
    уважаемые знатоки можно поподробнее написать про путь до файла
    тут я не очень хорошо понял что означает путь относительно корня веб-сервера до файла .htpasswd
    сервер на форточках какие там относительные пути? в какую сторону слешы наклонены?
    будьте так любезны объясните на "пальцах")))

    Код:
    <Files admin.php>
      AuthUserFile /путь/относительно/корня/веб-сервера/до/файла/.htpasswd
      AuthType Basic
      AuthName "Какой-нибудь заголовок для диалогового окна авторизации"
      Require valid-user
    </Files>
     
  16. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Если не ошибаюсь, то и обычные виндовые пути должны работать.
     
  17. sa1nt

    sa1nt Местный

    Регистрация:
    01.03.12
    Сообщения:
    20
    Симпатии:
    1
    Версия XF:
    1.1.3
    не работают обычные пути(((
    конечно я могу не правильно писать.... но трудно писать не правильно когда копируешь путь из адресной строки
     
  18. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Ладно. Если Вам нужны относительные пути, то укажите в качестве пути /.htpasswd. А его положите в корень сайта. Корень сайта найти сможете самостоятельно?
     
  19. sa1nt

    sa1nt Местный

    Регистрация:
    01.03.12
    Сообщения:
    20
    Симпатии:
    1
    Версия XF:
    1.1.3
    в принципе я так и сделал - результат, не работает.
     
  20. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Если у Вас вообще не работает .htaccess, то и .htpasswd тоже работать не будет. Рискну предположить, что проблема не в путях, а в настройке самого сервера. По идее ликбеза в интернете достаточно, а настраивать Вам сервер в виде чата через форум - это никак не относится к тематике данного форума. ИМХО.
    Уж лучше просто попросите знающего человека Вам все настроить.
     

Поделиться этой страницей