0 Пользователей и 1 Гость просматривают эту тему.
  • 89 Ответов
  • 2445 Просмотров
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
А как поступать если на сайт приходится установить сторонний компонент. Например для возможности комментирования (например jcomments)?
Или хватит тех же манипуляций с папкой components?
Кстати в одной статье данного форума, увидел совет ставить защиту на каждую корневую папку сайта.
*

flyingspook

  • Живу я здесь
  • 3588
  • 247 / 9
Кстати в одной статье данного форума, увидел совет ставить защиту на каждую корневую папку сайта.
Это уже паранойя, если ставить то надо это уметь и знать, иначе может что то не работать.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Однозначно! Что ещё раз подтверждает концепцию, что пользователь != вебмастер. После недавнего эпического холивара на свалке сообщество разделилось на тех, кто считает, что пользователь ничего не должен, и вообще все должны считаться с отсутствием у него элементарной квалификации, и на тех, кто считает, что для мало-мальски серьезного проекта пользователь должен быть не пользователем вовсе, а квалифицированным вебмастером, как минимум :]
А каково сертификата должно хватить? Интересует ценовая политика, а именно самая приемлемая цена.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Какого сертификата, SSL?
Да SSL, название бренда и самого сертификата.
Так как цены слишком разнятся, возникает ощущение слабой пользы от сертификата за самую маленькую сумму.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Да SSL, название бренда и самого сертификата.
Так как цены слишком разнятся, возникает ощущение слабой пользы от сертификата за самую маленькую сумму.

Ну они разные бывают. Бывает валидация домена - самые простые, затем идёт валидация организации, а самые сложные - расширенная валидация. Технически они отличаются незначительно, различия именно в типе валидации. Об этом написана куча статей в сети. По типу сертификаты тоже разные бывают: бывают для одного домена, бывают wildcard с поддержкой поддоменов, есть сертификаты с поддержкой национальных доменов (типа .рф), также существуют сертификаты сразу на несколько доменов. Я на своём сайте вообще использую бесплатный сертификат валидации домена от www.startssl.com, технически мне больше ничего и не надо (время ответа узла сертификации 50 миллисекунд при моей посещаемости меня вполне устраивает). Но если проект высокопосещаемый, то лучше установить платный сертификат.

Вам для каких целей нужно, какой у вас сайт?
« Последнее редактирование: 16.11.2015, 11:37:41 от Филипп Сорокин »
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Ну они разные бывают. Бывает валидация домена - самые простые, затем идёт валидация организации, а самые сложные - расширенная валидация. Технически они отличаются незначительно, различия именно в типе валидации. Об этом написана куча статей в сети. По типу сертификаты тоже разные бывают: бывают для одного домена, бывают wildcard с поддержкой поддоменов, есть сертификаты с поддержкой национальных доменов (типа .рф), также существуют сертификаты сразу на несколько доменов. Я на своём сайте вообще использую бесплатный сертификат валидации домена от www.startssl.com, технически мне больше ничего и не надо (время ответа узла сертификации 50 миллисекунд при моей посещаемости меня вполне устраивает). Но если проект высокопосещаемый, то лучше установить платный сертификат.

Вам для каких целей нужно, какой у вас сайт?

Сайт готовится блоговый. Статья, рассказ + комментарии. В общем читалка. Планируемая посещаемость: чем больше, тем лучше. Задача - защитить сайт от злоумышленников.
С помощью SSL (по вашим советам), планируется защитить передающиеся от клиента к серверу данные.
Доменная зона стандартная (ru). Пока что хватит сертификата на 1 домен. Дальше будет видно. Думаю в расширенной валидации нет смысла, если самая простая решит главную задачу.
Но все таки сомнения на этот счет возникают, вдруг простые сертификаты (бесплатные или не дорогие) не защитят мой сайт. Вот и маюсь какого сертификата должно хватить?
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Но все таки сомнения на этот счет возникают, вдруг простые сертификаты (бесплатные или не дорогие) не защитят мой сайт. Вот и маюсь какого сертификата должно хватить?

Это миф. Бесплатные и недорогие сертификаты защищают абсолютно так же, как платные и дорогие. Отличия между ними в типе валидации и назначении сертификата. Хотя здесь есть один важный момент: алгоритм шифрования должен быть современным, sha-2. Если после установки сертификата браузер Хром не выдаёт никаких предупреждений (они самые параноидальные по этой части), то сертификат надежный. Проверить очень просто: нажать на замочек рядом с адресной строкой и просмотреть все вкладки. Для блогового сайта будет достаточно сертификата первого класса, валидация домена, - самый простой сертификат. Для сайтов с платежными системами желательно использовать сертификаты второго класса (валидация организации). Расширенной валидацией пользуются корпорации, она самая дорогая.

Короче, устанавливайте сертификат первого класса (валидация домена), обычный, без поддержки субдоменов и дополнительных доменов. Обойдётся он вам от 400 до 1000 рублей. Или же пока вообще установите бесплатный сертификат на первое время, затем, если время ответа центра сертификации будет большим, перейдёте на платный.
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Это миф. Бесплатные и недорогие сертификаты защищают абсолютно так же, как платные и дорогие.
А это, настройки надо менять чего то там с дефолтных?
Не помню точно, но читал статейку что есть там уязвимость.. Короче ЦРУ взламывает до 40% трафика защищенного.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
А это, настройки надо менять чего то там с дефолтных?
Не помню точно, но читал статейку что есть там уязвимость.. Короче ЦРУ взламывает до 40% трафика защищенного.
Ну, почту Пентагона тоже взламывали, железные двери так же вскрывают. Конечно, нужно выпускать сертификаты у известных серт. центров, а не какие-нибудь малоизвестные китайские. С настройками не понял: open key и private key, устанавливаются они, вроде как, одинаково и для платных, и для бесплатных сертификатов.
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
Блин, фиг найдешь коммент.
Речь про псевдоэнтропию и как следствие, слабые ключи.
По оценкам вроде до 40% таких ключей слабые, а именно поддаются взлому чуть ли не моментально при условии что была создана база на суперкомпьютере.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Блин, фиг найдешь коммент.
Речь про псевдоэнтропию и как следствие, слабые ключи.

Эт вы, батенька, глубоко копнули! :] Было бы интересно почитать статью! В любом случае, ЦРУ пользуется такими технологиями, что взломает большинство сайтов. Мы, скромные художники и купцы, не представляем для них никакого интереса. Вот мобильный телефон Ангелы Меркель или Путина — другое дело, но Путина, вроде, пока не "ломали" :)

А если серьёзно, то каждый нормальный центр сертификации предоставляет гарантию на взлом. Даже на мой бесплатный сертификат есть гарантия 10 000 USD — поди, неплохо бы срубить каким-нибудь пройдохам! Если бы их часто ломали, они бы разорились. Соответственно, чем дороже сертификат, тем выше гарантия. На серт. COMODO EV Multi-Domain SSL, который стоит 50 тыс. руб в год гарантия вообще 1 500 000 долларов.
« Последнее редактирование: 16.11.2015, 16:11:02 от Филипп Сорокин »
*

voland

  • Легенда
  • 9870
  • 544 / 107
  • Эта строка съедает место на вашем мониторе
А кто сказал что взломы АНБ офишируются?
Часть центров и вовсе могут специально ослабленный ключ давать, вроде были такие требования у АНБ раньше.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Тогда им проще поставить прослушку непосредственно на серверах сертификационных центров. Вывод из этого такой: если вы представляете интерес для спецслужб определённых стран, то лучше не брать сертификат у компаний, зарегистрированных в этих странах или же владельцы которых являются гражданами этих стран. Но это уже паранойя чистой воды, хотя большой брат не дремлет :]
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Тогда им проще поставить прослушку непосредственно на серверах сертификационных центров. Вывод из этого такой: если вы представляете интерес для спецслужб определённых стран, то лучше не брать сертификат у компаний, зарегистрированных в этих странах или же владельцы которых являются гражданами этих стран. Но это уже паранойя чистой воды, хотя большой брат не дремлет :]
Ну самое главное в этом всем как я понял из всего обсуждения, так это то, что злоумышленнику чтобы напакостить, в первую очередь необходимо взломать сертификат.
И пока он это не сделает, за все остальное переживать не стоит. Даже за устаревшую версию какого-либо компонента? Надеюсь это так.

А по поводу страховок, сам был удивлен. Такие цены не  детские, что получается даже выгодно, чтобы тебя взламывали.
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Подавляющее большинство хакеров, ломающих сайты на коммерческой основе (иначе какой в этом смысл, можно и под судок пойти за взлом), не сможет взломать шифр сертификата. Спецслужбы не в счёт, но на то они и спецслужбы, короче. Что касается устаревших компонентов (а также устаревших версий php, в которых то и дело находят уязвимости и фиксят их), то это к шифрованию и валидации транзакций не имеет отношения.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Что касается устаревших компонентов (а также устаревших версий php, в которых то и дело находят уязвимости и фиксят их), то это к шифрованию и валидации транзакций не имеет отношения.
А есть ли такая чудо-защита (уровня защиты SSL-сертификата), для устаревшего "железа"?
Или что делать со старыми компонентами, как например Joom Galley (имею ввиду модуль JoomImages, прекратившей свое развитие в 13-ом году)?
Переносить сотни (а то и тысячи) фотографий на какую-нибудь новую, развивающуюся аналогичную платформу?

*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Опишу моё решение подробнее. Всё это можно выполнить средствами Apache, но может и не сработать, если ваш хостер использует Nginx в качестве фронт-энда и сконфигурировал его так, что настройки Apache игнорируются. А решение такое:

Код
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

Сессия длится до тех пор, пока вы не закроете окно браузера. Прямой доступ к каталогу "/administrator" закрыт.

кстати на одном хостинге, сервер которого почему-то не работает с включенным .htaccess (выдавая ошибку 500), без закомментированной строки "Options +FollowSymlinks".
Данный код не работает.
ВЫ могли бы объяснить? почему так происходит?
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
кстати на одном хостинге, сервер которого почему-то не работает с включенным .htaccess (выдавая ошибку 500), без закомментированной строки "Options +FollowSymlinks".
Данный код не работает.
ВЫ могли бы объяснить? почему так происходит?

Такая конфигурация сервера: хостер запрещает вам включать опцию FollowSymLinks, потому что при определённой конфигурации вы сможете "зайти к соседу", в соседнюю директорию вашего совмещённого (shared) хостинга. То есть вы сможете взломать сайт соседа или сосед сможет взломать ваш сайт. Поэтому данная опция отключена и включать её вам (и соседу) не разрешают (вместо неё вам скорее всего по умолчанию включили аналогичную опцию SymLinksIfOwnerMatch, которая действует так же, но не позволяет зайти в другую директорию).
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Хотя, она может быть выключена. Попробуйте её включить: Options +SymLinksIfOwnerMatch
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Хотя, она может быть выключена. Попробуйте её включить: Options +SymLinksIfOwnerMatch
Подключил данную опцию. Но чудо-код меняющий ключевое слово "администратор" - не сработал.
Может эта функция (Options +SymLinksIfOwnerMatch) - отключена на сервере?
И есть ли другие варианты, аналогичные FollowSymLinks?
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Эта опция, согласно документации, аналогична FollowSymLinks. Скорее всего конфигурация сервера не позволяет ставить cookie. Каким образом не работает у вас перенаправление? Ошибка возникает или что?
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Эта опция, согласно документации, аналогична FollowSymLinks. Скорее всего конфигурация сервера не позволяет ставить cookie. Каким образом не работает у вас перенаправление? Ошибка возникает или что?
Если просто отключить Options +FollowSymlinks, появляется ошибка 403:

Forbidden
You do not have permission to access this document.

Если же использовать предложенный вами вариант (подключить Options +SymLinksIfOwnerMatch), появляется ошибка 500:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator to inform of the time the error occurred and of anything you might have done that may have caused the error.
More information about this error may be available in the server error log.

И к слову о  хостере. Когда я написал запрос с службу поддержке, о неработоспособности сайта в случае включения .htaccess - они решили эту задачу стандартным закомментированием строки "Options +FollowSymlinks"

P.S. Дополню.
Хостер вообще решил включить функцию FollowSymlinks, в настройках Apache и nginx. Но защищающий админку код не заработал.

названиесайта/secret/ - Ошибка 404. Такой страницы не существует
названиесайта/administrator/ - Ошибка 403. Forbidden. You do not have permission to access this document.   
« Последнее редактирование: 10.12.2015, 08:29:47 от Igoritaly »
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Покажите содержимое вашего .htaccess. Какая версия Apache используется? Cookie, вроде, можно читать/устанавливать начиная с версии 2.2. А без cookie, разумеется, доступ будет запрещён и сервер ответит 403 ошибкой.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Покажите содержимое вашего .htaccess. Какая версия Apache используется? Cookie, вроде, можно читать/устанавливать начиная с версии 2.2. А без cookie, разумеется, доступ будет запрещён и сервер ответит 403 ошибкой.

Содержимое .htaccess:

Код
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Версия Apache: Server version: Apache/2.2.15
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
А если таким образом?

Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
А если таким образом?

Код
##
# @package Joomla
# @copyright Copyright (C) 2005 - 2012 Open Source Matters. All rights reserved.
# @license GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's. If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

RewriteCond %{REQUEST_URI} ^/administrator
#придумайте что-нибудь уникальное
RewriteCond %{HTTP_COOKIE} !antihack
RewriteRule .? - [F]

#ваша секретная страничка
RewriteCond %{REQUEST_URI} ^/secret$
#измените site.ru на ваш домен
RewriteRule .? /administrator/ [CO=antihack:1:site.ru:0:/administrator,R,L]

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Увы. Но!
При - administrator: Ошибка 403 Forbidden
При - secret/: Ошибка 404 Такой страницы не существует.
При - secret: Ошибка 403 Forbidden
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Интересно. Если был бы доступ, потестил бы. Во-первых проверил бы, устанавливаются ли cookie, а во-вторых, отклик 403 на страницу /secret вызывает недоумение. Наверное, дело в настройках сервера. А вообще, версия Apache 2.2 на нормальных хостингах уже лет 5 не используется – все перешли на 2.4. Лень-матушка мешает Вашему хостеру обновиться.
*

Igoritaly

  • Давно я тут
  • 619
  • 1 / 0
Интересно. Если был бы доступ, потестил бы. Во-первых проверил бы, устанавливаются ли cookie, а во-вторых, отклик 403 на страницу /secret вызывает недоумение. Наверное, дело в настройках сервера. А вообще, версия Apache 2.2 на нормальных хостингах уже лет 5 не используется – все перешли на 2.4. Лень-матушка мешает Вашему хостеру обновиться.
К сожалению заказчик на отрез отказывается, передавать кому-то данные. Но попытаюсь его убедить. Буду оч. рад. если поможете, напрямую
*

Филипп Сорокин

  • Сорокин Band
  • 1865
  • 153 / 4
  • разработчик.москва
Да, мне самому интересно с профессиональной ТЗ. Так что, если что, обращайтесь.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Компонент онлайн диагностики

Автор sannikovanton

Ответов: 0
Просмотров: 123
Последний ответ 29.04.2018, 21:35:38
от sannikovanton
Компонент энциклопедии

Автор Rebarun

Ответов: 31
Просмотров: 673
Последний ответ 03.04.2018, 18:44:28
от beliyadm
Компонент для вопросов и ответов

Автор dimon7772

Ответов: 6
Просмотров: 728
Последний ответ 03.04.2018, 15:28:37
от Invictus
Компонент для страницы вопрос-ответ

Автор zahar_92

Ответов: 1
Просмотров: 227
Последний ответ 17.03.2018, 12:47:17
от ejik_off
Плагин / модуль / компонент – карточки товара на сайте

Автор pips

Ответов: 7
Просмотров: 226
Последний ответ 10.03.2018, 15:51:28
от pips