Víceúrovňové zabezpečení systému Mozektevidi.net - Píše Olda Šálek.

Víceúrovňové zabezpečení systému

Je to pro mě naprosto běžná praktika zabezpečení webů. Ale co jsem si všiml, pro většinu to neplatí. Co je to víceúrovňové zabezpečení systému se dozvíte v článku

Co pro mě znamená víceúrovňové zabezpečení webu

Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess

Pojďme si to tedy shrnout znova, útočník musí:

  • Najít pravý login, admin, administrace je fake login
  • Zjistit jméno k .htaccess
  • Zjistit heslo k .htaccess
  • Zjistit jméno k php session
  • Zjistit heslo k php sessinon
Pak má útoční docela vyhráno. Vidí přes sebou administraci, ve které může dělat bordel. I administrace má nějaká omezení. V administraci může pouze přidávat a upravovat články, komentáře, ankety, blokovat IP ... na FTP se stejně nedostane, protože sice zná heslo k htaccess i k PHP, nezná ovšem heslo k FTP. Ani k databázi na hostingu. Tomu říkám pocit bezpečí, aneb Víceúrovňové zabezpečení systému


autor článku Oldřich Šálek | datum publikování 5.duben.2007 12:16 | krásná to věda, jen se to nesmí přehánět sociotechnika |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku