Víceúrovňové zabezpečení systému Mozektevidi.net - Píše Olda Šálek.

Navigace:Mozektevidi.netsociotechnika ⇒ Víceúrovňové zabezpečení systému

Víceúrovňové zabezpečení systému

Je to pro mě naprosto běžná praktika zabezpečení webů. Ale co jsem si všiml, pro většinu to neplatí. Co je to víceúrovňové zabezpečení systému se dozvíte v článku
facebook zjistit login, program na zjištění hesla na facebook, zjisteni hesel facebook, jak na cizí wifi, zjisteni zabezpeceni wifi, jak zjistit heslo-facebook, jak zjistit heslo do facebooku, jak zjistit heslo na wifi zabezpečené, obejít heslo na facebook, program na zjištění hesla k facebooku,

Co pro mě znamená víceúrovňové zabezpečení webu

Jedná se o prakticky o používání různých hesel pro různé činnosti. Dám příklad. Útočník se bude chtít dostat do mého administračního rozhraní. Už jenom to, že na něj nevede žádný odkaz z webu, neví kde mám administraci umístěnou. Zkusí tedy klasické /admin/ či /administrace Vyskočí mu login okno (ochrana heslem přes htaccess a zkouší hesla. Zkoušet je může jak dlouho chce, je to FAKE 8-) Tím se odradí spousty lamerů co "hackují" bruteforce metodou.
Jistě ho to baví. Pravý LOGIN je pod strašně složitou adresou. Kdyby na ní někdo náhodou přišel (login ve škole), vyskočí opět .htaccess okno, které si žádá heslo. Když by to heslo náhodou někod uhodl, což se nestane, vyskočí druhý login tentokrát přes php session, kde je omezený počet pokusů. Pak blogace IP. Heslo i jméno je samozřejmě jinačí, než v případě .htaccess

Pojďme si to tedy shrnout znova, útočník musí:

  • Najít pravý login, admin, administrace je fake login
  • Zjistit jméno k .htaccess
  • Zjistit heslo k .htaccess
  • Zjistit jméno k php session
  • Zjistit heslo k php sessinon
Pak má útoční docela vyhráno. Vidí přes sebou administraci, ve které může dělat bordel. I administrace má nějaká omezení. V administraci může pouze přidávat a upravovat články, komentáře, ankety, blokovat IP ... na FTP se stejně nedostane, protože sice zná heslo k htaccess i k PHP, nezná ovšem heslo k FTP. Ani k databázi na hostingu. Tomu říkám pocit bezpečí, aneb Víceúrovňové zabezpečení systému

autor Oldřich Šálek | cal 5.4.2007 | krásná to věda, jen se to nesmí přehánět sociotechnika |

Kometáře


Komentáře a diskuze ke článku tady
diskuze ke článku

Související články

ad aware 2008 slovenčina comix stahuj jak ukrást cookies shrek 3 hra cestina ke stazeni hacking facebook microsoft natural ergonomic keyboard návod invex 2008 video xperia x1-hry Internetové prohlížeče pro mobil windows vista instalace