w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms.
czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne?
jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej?
Pełna wersja: [php]Jak zabezpieczacie panel administracyjny strony..
Cytat(ghost2k8 @ 20.05.2010, 23:17:43 ) 
w jaki sposob zabezpieczacie panele administracyjne do zarzadzania stroną np. we wlasnym cms.
czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne?
jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej?
czy to tylko logowanie poprzez sesje, ceryfikaty ssl, inne?
jakich uzywacie sciezek do panelu, czy jest to np. http://admin.domena.pl, http://domena.pl/admin.php . czy zupelnie inaczej?
Zależy jaki poziom bezpieczeństwa potrzebujesz, jeżeli zwykły prosty cms to sesje. Adres - dowolny moim zdaniem.
1. Nie używam nazwy "admin".
2. Logowanie
3. Zabezpieczenie prób logowania (max 3 nieudane)
4. Ciasteczko weryfikujące tożsamość (dodaję po pierwszym poprawnym logowaniu).
2. Logowanie
3. Zabezpieczenie prób logowania (max 3 nieudane)
4. Ciasteczko weryfikujące tożsamość (dodaję po pierwszym poprawnym logowaniu).
Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta.
Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 )
Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta.
A co jeżeli ktoś ma dynamiczne IP?
Cytat(tehaha @ 21.05.2010, 13:28:44 )
A co jeżeli ktoś ma dynamiczne IP?
To zapisujesz w sesji, na czas trwania sesji raczej nie zmieni mu się IP.
no ja to wiem, tylko chciałem tutaj zauważyć, że przypisywanie na sztywno numeru IP w bazie to słaby pomysł...
A po co zapisywać IP w sesji?
Cytat(Zrewolwerowany @ 21.05.2010, 13:14:47 )
Sprawdzam czy adres IP zalogowanej osoby zgadza się z adresem zapisanym w bazie danych dla danego konta.
No to ja bym sobie juz nie po "administrował" ze swoim zmiennym IP.
Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic.
Cytat(pedro84 @ 21.05.2010, 14:12:44 )
Przypisywanie adresu do sesji? A co to da? To już odpowiem: nic.
Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia
http://talks.php.net/show/phpworks2004-php...ion-security/14
Cytat(tehaha @ 21.05.2010, 15:30:20 )
Zapisywanie IP do sesji można użyć jako zabezpieczenia przed przechwyceniem sesji, sprawdzamy czy adres nie zmienił się po zalogowaniu. Oczywiście przy małym cms'ie nie ma potrzeby takich zabezpieczeń, ale przy większym projekcie warto rozważyć takie dodatkowe zabezpieczenia
http://talks.php.net/show/phpworks2004-php...ion-security/14
http://talks.php.net/show/phpworks2004-php...ion-security/14
No to akurat wiem, ale Autora nie podejrzewam o jakiś duży CMS. Ja i tak wolę tworzyć unikatowy identyfikator + zabezpieczenie sesji. W przypadku IP jest po prostu pomysł lekko chybiony...
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.