1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

1.1.3 Стоит ли в целях безопасности не использовать аккаунт админа?

Тема в разделе "Основные вопросы по XenForo", создана пользователем Alakey, 19 ноя 2012.

Загрузка
  1. Alakey

    Alakey Активный пользователь

    Регистрация:
    15.03.12
    Сообщения:
    102
    Симпатии:
    9
    Версия XF:
    1.1.3
    Скоро буду ставить форум на хост. Задаюсь вопросом: Стоит ли в целях безопасности не использовать аккаунт админа? В смысле использовать другой акк, без прав админа (сделать второй акк модератора и его использовать).
    Тем более, акк админа назван как "Андрій".
    И можно ли юзать такое имя? Или лучше все таки англ буквами?

    Или не замарачиваться по этому поводу? Если захотят взломать - взломают.
    Еще буду ставить защиту через .httpassw или как там правильно пишется :)

    Как сделано у вас? :)
     
  2. Mefodian

    Mefodian Местный

    Регистрация:
    20.01.12
    Сообщения:
    493
    Симпатии:
    220
    Версия XF:
    1.1.3
    Не заморачивайтесь
     
  3. Romchik®

    Romchik® The Power of Dreams Команда форума

    Регистрация:
    26.09.10
    Сообщения:
    5.740
    Симпатии:
    5.269
    Версия XF:
    1.5.11
    Ну на самом деле не так уж то и плохо. Только неудобно. Стоит что-то понадобиться в админке - либо перелогиниться придется, либо в другом браузере временно авторизоваться.
    А вообще мысль дельная. И в целом, уже не раз говорилось, чем меньше админов на форуме, тем лучше. Впрочем, это конечно же не значит, что взломать не смогут как-то иначе.

    Ник вообще роли как бы не играет.
     
    Alakey нравится это.
  4. Alakey

    Alakey Активный пользователь

    Регистрация:
    15.03.12
    Сообщения:
    102
    Симпатии:
    9
    Версия XF:
    1.1.3
    тем более, для админа я думал использовать длинный и сложный пароль :) будет проблематично вспомнить :)

    ну в случае восстановить, или я даже не знаю, какая еще может возникнуть ситуация, на англ вроде бы как получше будет?
     
  5. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.322
    Версия XF:
    1.5.9
    Одна из самых простых защит - это искажение админкой учетки (хеш пароля, идентификатор группы и т.д.) прямо в базе с предварительным сохранением оригинальной записи где-нибудь в .sql файле. Таким образом админский доступ просто отсутствует, хотя админ и его учетка имеется. Для взломщиков это усложняет задачу. Насколько сильно - не знаю. Минус решения - требуется доступ к базе данных перед тем, как войти админом. Ну и не забывать затем опять менять.
    Вторая защита админки - изменение или перенос файлов, относящихся к админке. Понятно, что при этом требуется доступ через ftp, sftp или ssh.
    Третья защита - привязка админки к IP. Можно и плагин нарисовать, а можно и прямо в нужных файлах добавить проверку.
    Четвертая защита - дополнительная авторизация через апачевский .htpasswd.
    Ну и т.д.

    То есть защит можно напридумывать массу. Также часть защит может приводить к ситуации, когда админская учетка просто не будет работать.

    Публиковать ли что-то под админской учеткой и вообще сидеть ли на форуме? Думаю, что стОит просто дополнительно ее защитить и все. Сидеть под админской учеткой в таком случае будет достаточно безопасно.
     
    Alakey нравится это.
  6. Alakey

    Alakey Активный пользователь

    Регистрация:
    15.03.12
    Сообщения:
    102
    Симпатии:
    9
    Версия XF:
    1.1.3
    очень понравился ответ :)
    а стоит использовать "Андрій" или лучше использовать английские буквы?
     
  7. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    646
    Симпатии:
    267
    Без разницы, и ещё хакеры часто используют уязвимости хостера, вот например Вы поставили супер-пупер пароль в админке, а в ftp забыли, всё к Вам залезут через ftp.
    На самом деле используя уязвимости хостера или не правильных настроек сервера гораздо легче залесть чем через уязвимости движка !
    По этому я особо не заморачивался, просто поменял адрес админки и всё !
    И ещё советую сделать разные пароли:Админка,база,ftp, аккаунт к панели хостера !
     
  8. Alakey

    Alakey Активный пользователь

    Регистрация:
    15.03.12
    Сообщения:
    102
    Симпатии:
    9
    Версия XF:
    1.1.3
    это само собой разумеется ;)
     
  9. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.322
    Версия XF:
    1.5.9
    При использовании UTF-8 "дополнительная" защита в виде символов из национальной кодировки теряет смысл. Спамеры и взломщики сейчас интернациональны и часто используют свои алгоритмы и базы, ориентированные на национальную принадлежность взламываемого ресурса. Естественно, что в этом случае логин админа также не может как-то препятствовать взлому. К тому же в ксене для авторизации используется либо логин, который даже гость видит в постах, либо адрес электронной почты, который не может быть в нелатинских символах.
    Ну и как уже говорили, обычно взламывают не через движок и его уязвимости, хотя и не исключает этого, а через дыры хостинга, которые могут возникнуть из-за непрофессиональности хостера. Естественно, что никто не отменял атаки и через внедрение скриптов. Кстати, по этой причине в ксене убраны возможности прямого включения html в посты, если заметили.
     

Поделиться этой страницей