Lazek Опубликовано 19 сентября, 2008 Жалоба Поделиться Опубликовано 19 сентября, 2008 Здравствуйте! Меня как и 99% волнует безопасность данного скрипта. Алексей скажите пожалуйста, почему Вы не сделаете пароли в БД (от биллинга, панелей управления, серверов и админ панели) - именно в базу. А сами пароли в md5 что то вроде: $pass = md5($_POST['pass']); запрос в БД о логине юзера. получение пароля if ($row['password'] == $pass) { login } Ведь после реализации зашифровки паролей (от биллинга, панелей управления, серверов и админ панели), все вопросы по безопасности Вашего скрипта будут сведены на НЕТ. Алексей, надеюсь Вы все таки сделаете, то о чем пишут уже несколько лет, потому как безопасность самое главное.. Ссылка на комментарий Поделиться на другие сайты Поделиться
admin Опубликовано 19 сентября, 2008 Жалоба Поделиться Опубликовано 19 сентября, 2008 Алексей скажите пожалуйста, почему Вы не сделаете пароли в БД (от биллинга, панелей управления, серверов и админ панели) - именно в базу. Уже ж ведь отвечал, используйте поиск. Ведь после реализации зашифровки паролей (от биллинга, панелей управления, серверов и админ панели), все вопросы по безопасности Вашего скрипта будут сведены на НЕТ. Какие конкретно вопросы, поподробнее. Алексей, надеюсь Вы все таки сделаете, то о чем пишут уже несколько лет, потому как безопасность самое главное.. Также поподробнее: как именно страдает безопасность и пр. Ссылка на комментарий Поделиться на другие сайты Поделиться
Lazek Опубликовано 19 сентября, 2008 Автор Жалоба Поделиться Опубликовано 19 сентября, 2008 Алексей скажите пожалуйста, почему Вы не сделаете пароли в БД (от биллинга, панелей управления, серверов и админ панели) - именно в базу. Уже ж ведь отвечал, используйте поиск. Алексей, я помню Ваш ответ, но думал что Вы все таки изменили свое мнение. Ведь после реализации зашифровки паролей (от биллинга, панелей управления, серверов и админ панели), все вопросы по безопасности Вашего скрипта будут сведены на НЕТ. Какие конкретно вопросы, поподробнее. Все вопросы, сейчас же допустим получил человек копию файла whm.php и все сервера у него, данные клиентов у него т.е все полный контроль, шантажи и etc. Представим что все пароли (биллинг, админка, сервера) в md5, человек потратит время на их декодирование, по крайней мере около 1-2 часов, что хватит на 100% для исправления безопасности на сервере и это факт! Даже из-за этого стоит уже реализовать данную возможность, т.к хранить пароли в открытом виде... Ну не безопасно это, посмотрите тот же WHMCS, все в md5.. Алексей, надеюсь Вы все таки сделаете, то о чем пишут уже несколько лет, потому как безопасность самое главное.. Также поподробнее: как именно страдает безопасность и пр. Написал немного выше Просто действительно закодированный пароль - хоть как то задержит "хакеров" от получения доступа к серверам. Алексей, пожалуйста, рассмотрите данный вопрос еще раз и внесите хотя бы минимальные корректировки, ну не дело это пароли от серверов хранить в файлах. Ссылка на комментарий Поделиться на другие сайты Поделиться
admin Опубликовано 20 сентября, 2008 Жалоба Поделиться Опубликовано 20 сентября, 2008 Алексей, я помню Ваш ответ, но думал что Вы все таки изменили свое мнение. Если бы какое-то свое мнение изменил, то это всенепременно отразилось бы в биллинге. Все вопросы, сейчас же допустим получил человек копию файла whm.php и все сервера у него, данные клиентов у него т.е все полный контроль, шантажи и etc. Внимательнее читайте рекомендации по безопасности из ReadMe.doc. Не можете обеспечить безопасность - не используйте автоактивацию. Представим что все пароли (биллинг, админка, сервера) в md5, человек потратит время на их декодирование, по крайней мере около 1-2 часов, что хватит на 100% для исправления безопасности на сервере и это факт! Что за бред?! Если все пароли закодированы, то смысл их вообще хранить в базе. И мне очень интересно, как это Вы с закодированным паролем произведете автоматическое действие в панели управления сервером Ссылка на комментарий Поделиться на другие сайты Поделиться
Lazek Опубликовано 20 сентября, 2008 Автор Жалоба Поделиться Опубликовано 20 сентября, 2008 Окей, вопрос снят с повестки дня . Алексей, скажите пожалуйста, кроме рекомендаций: Выноса биллинга на отдельный сервер. Закрытие паролем admin директории. Что еще можете посоветовать для обеспечения безопасности? PHP как CGI. Закрыть open_basedir. Это тоже уже известно. Ссылка на комментарий Поделиться на другие сайты Поделиться
admin Опубликовано 20 сентября, 2008 Жалоба Поделиться Опубликовано 20 сентября, 2008 Что еще можете посоветовать для обеспечения безопасности? А5 же, все что мог посоветоваьт - изложил в ридми. Выноса биллинга на отдельный сервер.Закрытие паролем admin директории. Закрыть open_basedir - если на сервере не только аккаунт с биллингом. Этого вполне должно хватить. Ссылка на комментарий Поделиться на другие сайты Поделиться
Lazek Опубликовано 20 сентября, 2008 Автор Жалоба Поделиться Опубликовано 20 сентября, 2008 Понятно, огромное спасибо. Тема закрыта. Ссылка на комментарий Поделиться на другие сайты Поделиться
Lazek Опубликовано 25 сентября, 2008 Автор Жалоба Поделиться Опубликовано 25 сентября, 2008 Алексей, Вы были правы md5 не вариант... После нахождения такого интересного сервиса: http://www.md5decrypter.com/ Смысл что либо делать отпадает.. Тут Вы правы - главное безопасность сервера. Тема закрыта. Ссылка на комментарий Поделиться на другие сайты Поделиться
admin Опубликовано 25 сентября, 2008 Жалоба Поделиться Опубликовано 25 сентября, 2008 И что из этого?! ResultsMd5 Hash: c0377985da7d945be20fea2a1f60aea0 A decryption for this hash wasn't found in our database Каждый пароль проверять на этом сервисе, авось и есть он в базе?! Честно говоря, ничего не понимаю. И кстати, интересно было бы получить ответ на вопрос "И мне очень интересно, как это Вы с закодированным паролем произведете автоматическое действие в панели управления сервером "? Ссылка на комментарий Поделиться на другие сайты Поделиться
Lazek Опубликовано 25 сентября, 2008 Автор Жалоба Поделиться Опубликовано 25 сентября, 2008 И мне очень интересно, как это Вы с закодированным паролем произведете автоматическое действие в панели управления сервером Ну видимо на основе хеша пароля, ведь на примере WHMCS там пароли в md5 и все автоматические действия с панелями управления: » cPanel/WHM» DirectAdmin » Plesk » LXAdmin » Helm 3 & 4 » Ensim » InterWorx » DotNetPanel » WHMSonic » CentovaCast » SCPanel » CastControl » TCAdmin » HyperVM » Reseller Central Поддерживаются без проблем.. Ссылка на комментарий Поделиться на другие сайты Поделиться
admin Опубликовано 25 сентября, 2008 Жалоба Поделиться Опубликовано 25 сентября, 2008 Ок... если действие может выполнить и панель, то что мешает хакеру отправить запрос на выполнение действия с использованием того же hash, займет минут на 5 больше времени. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти