Navigace:Mozektevidi.net ⇒ sociotechnika ⇒ Víceúrovňové zabezpečení systému

Víceúrovňové zabezpečení systému

Je to pro mě naprosto běžná praktika zabezpečení webů. Ale co jsem si všiml, pro většinu to neplatí. Co je to víceúrovňové zabezpečení systému se dozvíte v článku

zjistění hesla na facebook, zjistovani hesel facebook, zjistovani hesel na facebook, hesla na facebooku, zjištění hesla na facebooku, prolomeni hesla na FB, zjištování hesel facebook, hesla na fb, zjištování hesla na facebooku, zjištění hesla na fb,

Co pro mě znamená víceúrovňové zabezpečení webu

Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess

Pojďme si to tedy shrnout znova, útočník musí:

Najít pravý login, admin, administrace je fake login
Zjistit jméno k .htaccess
Zjistit heslo k .htaccess
Zjistit jméno k php session
Zjistit heslo k php sessinon

Pak má útoční docela vyhráno. Vidí přes sebou administraci, ve které může dělat bordel. I administrace má nějaká omezení. V administraci může pouze přidávat a upravovat články, komentáře, ankety, blokovat IP ... na FTP se stejně nedostane, protože sice zná heslo k htaccess i k PHP, nezná ovšem heslo k FTP. Ani k databázi na hostingu. Tomu říkám pocit bezpečí, aneb Víceúrovňové zabezpečení systému