Mozektevidi.net website

• home
• rss zdroj
• fotogalerie
• kontakt

Víceúrovňové zabezpečení systému

Je to pro mě naprosto běžná praktika zabezpečení webů. Ale co jsem si všiml, pro většinu to neplatí. Co je to víceúrovňové zabezpečení systému se dozvíte v článku

Co pro mě znamená víceúrovňové zabezpečení webu

Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess

Pojďme si to tedy shrnout znova, útočník musí:

• Najít pravý login, admin, administrace je fake login
• Zjistit jméno k .htaccess
• Zjistit heslo k .htaccess
• Zjistit jméno k php session
• Zjistit heslo k php sessinon

Pak má útoční docela vyhráno. Vidí přes sebou administraci, ve které může dělat bordel. I administrace má nějaká omezení. V administraci může pouze přidávat a upravovat články, komentáře, ankety, blokovat IP ... na FTP se stejně nedostane, protože sice zná heslo k htaccess i k PHP, nezná ovšem heslo k FTP. Ani k databázi na hostingu. Tomu říkám pocit bezpečí, aneb Víceúrovňové zabezpečení systému

Související články
• Proč je linux lepší - start systému (28. listopadu 07, 03:11)
• Práce na novém redakčním systému (29. června 07, 03:06)

Diskuze ke článku

Komentáře a diskuze ke článku tady

Kategorie článků

• IT (36)
• IT bezpečnost (28)
• Názory (53)
• blog (115)
• filmy (11)
• fotoakce (51)
• krátce (33)
• linux (24)
• recenze (58)
• služby (59)
• sociotechnika (19)
• wifi sítě (4)

Náhodné články

• Animované adsense? WTF
• Linux a hry
• Proč přišlo linkuj.cz o účet v adsense
• Sázava fest 2006 fotky
• Heslo není veřejný údaj
• Repli Kate
• Hledám dobrou klávesnici
• Linuxové postupy na windows vista
• Best of Cíba
• Redakční systém je skoro hotov

Poslední články

Objevení ameriky – Geocaching

HTC TyTN II Windows Mobile 6 kritika

HTC TyTN II (Kaiser) je doma

Koupit HTC Kaiser nebo SonyEricsson Xperia X1

Konečně prázdniny

Tuning fest 2008 v Hradci

Značky reklama firmy

Votvírák 2008 fotky a zážitky

Doba SSD disků se blíží

Staročeské máje 2008 – hodnocení

Tagy ke stránce

PHP session login zjistit hesla na travian víceúrovňová bezpečnost jak zjistit heslo k travian travian zjistit heslo zabezpeceni webu zjištění hesla na travian session zabezpeceni blokování IP adresy .htaccess program na zabespeceni wifi zabespečení ip adresa zabezpeceni systemu htpasswd bezpecne zabezpeceni htaccess keylogger na travian

Poslední komentáře

RSS export

• RSS [články]
• RSS [komentáře]

---