0 Пользователей и 1 Гость просматривают эту тему.
  • 57 Ответов
  • 66367 Просмотров

Re: Безопасная авторизация для Joomla
« Ответ #30 : 25.03.2008, 15:46:23 »
chap используется исключительно для защиты пароля администратора или всех пользователей которые логинятся?
*

Alex_B

  • Захожу иногда
  • 196
  • 39 / 0
Re: Безопасная авторизация для Joomla
« Ответ #31 : 03.04.2008, 00:01:57 »
chap используется исключительно для защиты пароля администратора или всех пользователей которые логинятся?
Всех ко логинется через админский вход.
*

green45

  • Осваиваюсь на форуме
  • 46
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #32 : 09.07.2008, 17:58:57 »
Ребят, а может проще просто поставить пароль на папку администратор на хостинге?
 Как думаете?
*

Alex_B

  • Захожу иногда
  • 196
  • 39 / 0
Re: Безопасная авторизация для Joomla
« Ответ #33 : 16.07.2008, 21:34:12 »
Ребят, а может проще просто поставить пароль на папку администратор на хостинге?
 Как думаете?
Пароль от папки как будете передавать?
Вся суть не передавать пароль по сети в открытом виде.
*

Adam.K

  • Захожу иногда
  • 135
  • 3 / 0
  • Чтож со зрением то делать? Совсем испортилось.
Re: Безопасная авторизация для Joomla
« Ответ #34 : 13.09.2008, 21:57:28 »
 


config.php
Используется для настроек.

ВНИМАНИЕ:
в файле config.php обязательно заменить секретный показатель, известный только серверу, с дефолтного на свой.
Протокол будет осуществляться только при авторизации со страницы administrator\index.php
(т.е. модуль авторизации не написан)

Залил все как говорили на Joomla 12 LE

Вроде работает, но часто говорит что истекло время запроса что-то вроде этого, хотя увеличил до 60 сек как вы рекомендовали.

Alex_B скажите пожалуйста что за секретный код сервера? И пробовали ли вы также установить Каптчу вместе с вашим хаком?

(представлюсь "Чайник")
« Последнее редактирование: 14.09.2008, 03:41:12 от Adam.K »
*

Alex_B

  • Захожу иногда
  • 196
  • 39 / 0
Re: Безопасная авторизация для Joomla
« Ответ #35 : 15.09.2008, 11:06:24 »
что за секретный код сервера? И пробовали ли вы также установить Каптчу вместе с вашим хаком?
В config.php из вложения к первому посту есть строчка
$server_key = "server_secret"; взамен "server_secret"  нужно написать свою строку.

Каптчу не пробовал.
*

Adam.K

  • Захожу иногда
  • 135
  • 3 / 0
  • Чтож со зрением то делать? Совсем испортилось.
Re: Безопасная авторизация для Joomla
« Ответ #36 : 15.09.2008, 12:26:59 »
Понял спасибо!
*

werdi

  • Новичок
  • 6
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #37 : 11.12.2008, 11:00:59 »
В config.php из вложения к первому посту есть строчка
$server_key = "server_secret"; взамен "server_secret"  нужно написать свою строку.
Я тож непонял где взять-то этот сервер ключ?

У меня при авторизации пишет что неверный пароль
*

Air

  • Новичок
  • 5
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #38 : 20.01.2009, 01:44:24 »
Либо я что-то упустил, либо схема предложена только для админов.
А можно бы и для рядовых юзеров! В жж видел такое еще года три назад (фига сколько времени прошло %)))).

Схема та же была:
res = MD5(chal + MD5(pass))
А в качестве chal используется [псевдо]случайное число. Чем генератор этого [псевдо]случайного числа будет проинициализирован - секретом сервера или еще чем - это же без разницы. Главное, чтобы он каждый раз был разный.
В базе сервера храним только "MD5(pass)". При заходе на сайт (не обязательно а админку, а куда угодно), сервер передает этот "chal" и с помощью js происходит обсчет формулы, а сервер выполняет то же самое. Если res совпал, значит был введен настоящий пароль.
То есть накладных расходов = на каждого юзера/админа хранить значение "MD5(pass)", что кстати и так имеет место быть.

P.S. с тех пор я уважаю команду lj :)

P.P.S. забыл уточнить... chal передается в браузер независимо оттого, хочет юзер/админ логиниться или нет. Просто на всякий случай передается - вдруг он примет это наиважнейшее решение, залогиниться на сайте :))))). Это не нанесет ущерба безопасности, поскольку chal на каждый конкретный случай всегда! будет генериться заново. Благо chal, как я понял, аж из 16 символов (128 битиков).

« Последнее редактирование: 20.01.2009, 01:57:07 от Air »
*

item32

  • Захожу иногда
  • 53
  • 10 / 2
Re: Безопасная авторизация для Joomla
« Ответ #39 : 04.02.2009, 18:37:24 »
а были ли вообще преценденты такого способа взлома сайтов ? - думаю нет
если же ктото действительно захочет хакнуть сайт то от этого уберечься нельзя, тем более таким способом
*

Sergei_Shablovsky

  • Захожу иногда
  • 79
  • 2 / 2
  • Всего самого лучшего Вам !
Re: Безопасная авторизация для Joomla
« Ответ #40 : 09.02.2009, 12:55:31 »
А я себя прикрутил CAPTCHу + .htpasswd  :o
Вроде бы влом не возможен.

А как именно вы это сделали, поделитесь ? :) Заранее спасибо !
*

Air

  • Новичок
  • 5
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #41 : 16.02.2009, 21:02:10 »
а были ли вообще преценденты такого способа взлома сайтов ? - думаю нет
если же ктото действительно захочет хакнуть сайт то от этого уберечься нельзя, тем более таким способом
конечно такой метод не помогает от взлома сайта. это защита от другого типа угроз. А именно от взлома конкретного аккаунта и получения его прав. кроме того вся эта морока с криптографическим запрос-ответом через md5 делается с одной единственной целью - защититься от прямого перехвата http траффика. и в данном случае схема реально работает, потому что при вводе одного и того же пароля сервер каждый раз ждет разного значения.

Здесь философия. Очевидно, что с точки зрения администратора перехват его пароля критичен, но лучше воспользоваться https, и перехват вообще потеряет всякий смысл. А вот с точки зрения юзера часто бывает так, что ему намного критичнее потерять контроль над своим аккаунтом, куда он уже успел назаливать персональной инфы, чем увидеть, что сайт напрочь умер. И вот тут уже чувство защищенности юзера и привлекательность конкретного портала для пользоватлей. И дальше можно тему развивать... бла.. бла.. :))
*

diablist

  • Новичок
  • 5
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #42 : 17.02.2009, 23:15:28 »
У меня почему-то при нажатии на кнопку войти, меняется быстро пароль и пишет пароль не правильный ((
Стоит LavraEdition 2008
*

Alex_B

  • Захожу иногда
  • 196
  • 39 / 0
Re: Безопасная авторизация для Joomla
« Ответ #43 : 07.05.2009, 23:15:57 »
Ахтунг

Спустя несколько лет :) в протоколе обнаружился серьезный недостаток.

О недостатке вроде бы и было известно, но внимания на это не обращали.
О недостатке сообщал анонимный пользователь Letifergo, однако его комментарий (опять же) остался без внимания.

Подытожил некто Вашеимя:
"прав на ЧТЕНИЕ базы будет достаточно для полного контроля системы авторизации посторонним лицом БЕЗ каких-либо внешних признаков".


Суть проблемы
Применение данного протокола приводит к тому что вместо пароля пользователя использует его хеш. Т.е. фактически пароли хранятся в открытом виде.


Объяснение
Краткое описание одного из этапов протокола:
"В браузере введенный пароль хешируется и складывается со строкой переданной сервером (это строка каждый раз разная):

md5( md5(введенный_пароль) + строка_от_сервера) = хеш_пароля_и_строки_сервера"

Тогда тот кто знает md5(введенный_пароль) знать сам пароль вовсе и не должен, и это не помешает ему авторизоваться по данному протоколу.
*

Adam.K

  • Захожу иногда
  • 135
  • 3 / 0
  • Чтож со зрением то делать? Совсем испортилось.
Re: Безопасная авторизация для Joomla
« Ответ #44 : 22.06.2009, 11:58:04 »
Alex_B как теперь эту штуку правильно отключить? Чтобы без глюков было?
*

Alex_B

  • Захожу иногда
  • 196
  • 39 / 0
Re: Безопасная авторизация для Joomla
« Ответ #45 : 24.06.2009, 09:46:52 »
>Чтобы без глюков было?
Заявленная функция - непередача пароля в открытом виде - выполняется.
Так что может и не стоит отказываться: надо каким-то образом оценить что более вероятно
a. Прослушивание трафика от вас к сайту (подразумевается что SSL у вас нет)
б. что кто-то получит базу с хешами паролей
:)

> как теперь эту штуку правильно отключить?
Ну как - надо обратные действия произвести

1.Из корневой папки (на уровне с configuration.php) удалить файл из вложения
   - config.php

2.Из папки ..administrator\ удалить:
   - webtoolkit.md5.js

3.Запакаовать файлы обратно в архив и вернуть оригинальные (у вас же остались копии :) )
   - ..administrator\index.php
   - ..administrator\templates\joomla_admin\login.php
« Последнее редактирование: 24.06.2009, 10:07:50 от Alex_B »
*

Adam.K

  • Захожу иногда
  • 135
  • 3 / 0
  • Чтож со зрением то делать? Совсем испортилось.
Re: Безопасная авторизация для Joomla
« Ответ #46 : 24.06.2009, 12:51:09 »
Спасибо так и сделал.

>Так что может и не стоит отказываться: надо каким-то образом оценить что более вероятно

Думаю SSL поставить.
*

joomlaforum21

  • Осваиваюсь на форуме
  • 30
  • 0 / 0
  • Это я плачу...
Re: Безопасная авторизация для Joomla
« Ответ #47 : 16.09.2009, 01:30:02 »
А я себя прикрутил CAPTCHу + .htpasswd  :o
Вроде бы влом не возможен.

кторую CAPTCHу и откуда это .htpasswd ?

спасибо!

Re: Безопасная авторизация для Joomla
« Ответ #48 : 09.11.2009, 15:10:07 »
После копирования и замены вот что выдает,
по тексту понятно что обращается к globals.php но у меня этого файла нет, что делать?


Warning: main(../globals.php) [function.main]: failed to open stream: No such file or directory in /sata1/home/users/marronear/www/www.marrone-art.co.ua/administrator/index.php on line 32

Fatal error: main() [function.require]: Failed opening required '../globals.php' (include_path='./:/usr/local/share/pear/') in /sata1/home/users/marronear/www/www.marrone-art.co.ua/administrator/index.php on line 32
*

SBars

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #49 : 11.05.2010, 17:54:23 »
Помогите пожалуйста!! Проблема такая - не могу зайти в административную панель - пишет "Имя пользователя и пароль не совпадают"! Можно ли что-нибудь сделать? и почему это могло произойти?
Заранее спасибо!
*

fedya

  • Захожу иногда
  • 463
  • 50 / 1
Re: Безопасная авторизация для Joomla
« Ответ #50 : 11.05.2010, 18:03:47 »
Помогите пожалуйста!! Проблема такая - не могу зайти в административную панель - пишет "Имя пользователя и пароль не совпадают"! Можно ли что-нибудь сделать? и почему это могло произойти?
Заранее спасибо!
явно не в ту тему написали

по вашему случаю, возможно два варианта
1. пароль вы просто забыли
2. вас хакнули

решается сменой пароля через phpMyAdmin, есть и другие способы...
посмотрите например эту тему

и на будущее - научитесь пользоваться поиском по форуму
Вместо того, чтобы доказывать истинность своих положений и опровергать аргументацию оппонента, демагог может обращаться к приёму ad hominem — критиковать не аргументы, а личность оппонента, пытаясь убедить зрителей, что оппонент — плохой, недостойный, не разбирающийся в вопросе, пристрастный или лицемерный человек.
*

SBars

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #51 : 11.05.2010, 18:20:16 »
и на будущее - научитесь пользоваться поиском по форуму
Спасибо! На счёт поиска - я учту!
*

sterden

  • Новичок
  • 7
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #52 : 14.09.2012, 19:05:29 »
Вчера не смог зайти в админку сайта. Пишет логин и пароль не соответствует друг другу. Пришлось сбрасывать пароль через базу данных. Почему такое может быть?
*

dreamer777

  • Новичок
  • 1
  • 0 / 0
Re: Безопасная авторизация для Joomla
« Ответ #53 : 27.08.2015, 18:20:34 »
Простите, пожалуйста, что совсем не в тему, возможно, но сюда зашла впервые и есть вопросы.
Есть сайт, был создан веб-мастером, это мой блог, но я вообще ничего не смыслю в программировании - я журналист, пишу да заливаю картинки. Подскажите, что мне нужно сделать для безопасности? Возможно, к кому обратиться и что спросить - хотя бы минимальная защита чтобы была.
Плюс вопрос - на сайте нет формы для регистрации, ее и не будет, но при этом сегодня в пользователях в админке, кроме двух моих аккаунтов супер-юзера нашла третий - джеффри какой-то. Отключенный, не активированный, удалила, но откуда он мог взяться?
Простите за ноль знаний - если можно, объяснить на пальцах;)
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Re: Безопасная авторизация для Joomla
« Ответ #54 : 27.08.2015, 19:14:19 »
Если объяснять на пальцах.... тут целый курс составить можно, и не один час времени, наврное лучше вам составить программку, по которой следует изучать вопросы безопасности, от а до я.
*

Cybervizor

  • Захожу иногда
  • 111
  • 8 / 0
Re: Безопасная авторизация для Joomla
« Ответ #55 : 27.08.2015, 19:46:13 »
Простите, пожалуйста, что совсем не в тему, возможно, но сюда зашла впервые и есть вопросы.
Есть сайт, был создан веб-мастером, это мой блог, но я вообще ничего не смыслю в программировании - я журналист, пишу да заливаю картинки. Подскажите, что мне нужно сделать для безопасности? Возможно, к кому обратиться и что спросить - хотя бы минимальная защита чтобы была.
Плюс вопрос - на сайте нет формы для регистрации, ее и не будет, но при этом сегодня в пользователях в админке, кроме двух моих аккаунтов супер-юзера нашла третий - джеффри какой-то. Отключенный, не активированный, удалила, но откуда он мог взяться?
Простите за ноль знаний - если можно, объяснить на пальцах;)

Для безопасности в первую очередь активируйте двухфакторную авторизацию в админке. Для этого необходимо активировать плагин "Двухфакторная аутентификация - Google Authenticator" и установить приложение на смартфон. Актуально если у Вас J3.х, иначе придется ставить дополнительные расширения. По второму вопросу - зайдите в менеджер пользователей и запретите регистрацию: http://prntscr.com/89juk1
*

flyingspook

  • Moderator
  • 3590
  • 247 / 9
Re: Безопасная авторизация для Joomla
« Ответ #56 : 28.08.2015, 09:53:39 »
@dreamer777
Если вам делал адекватный разработчик и вы с ним рассчитались и не возникли какие либо спорно конфликтные ситуации то беспокоиться не о чем. Вам достаточно ограничить доступ к папке administrator о чем эта тема, ограничить сейчас можно практически на любом хостинге, в любой панели управления есть возможность установить пользователя и пароль на ограничение доступа на любую папку, спросите у хостера как сделать если сами не можете разобраться, если у них нет такой возможности то можно самостоятельно с  помощью htaccess это сделать.
Для безопасности в первую очередь активируйте двухфакторную авторизацию в админке. Для этого необходимо активировать плагин "Двухфакторная аутентификация - Google Authenticator" и установить приложение на смартфон. Актуально если у Вас J3.х, иначе придется ставить дополнительные расширения. По второму вопросу - зайдите в менеджер пользователей и запретите регистрацию: http://prntscr.com/89juk1
Да, да, да, нет регистрации, есть один единственный админ, и ставить "Двухфакторная аутентификация - Google Authenticator" какой смысл, еще и приложение на мобильный, перед предложением подумайте внимательно стоит ли нагружать человека бессмысленными телодвижениями когда можно все выполнить и без этих манипуляций, тем более двухфакторная аутентификация ни чем не поможет от заливки шела и доступу к папке administrator что именно необходимо для любого сайта.
*

Cybervizor

  • Захожу иногда
  • 111
  • 8 / 0
Re: Безопасная авторизация для Joomla
« Ответ #57 : 28.08.2015, 13:49:44 »
тем более двухфакторная аутентификация ни чем не поможет от заливки шела и доступу к папке administrator что именно необходимо для любого сайта.
Согласен, что не поможет, но может защитить от банального брутфорса. Тем более, как показывает практика, у большинства обычных пользователей пароли не отличаются сложностью, длиной и разнообразием.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Вирус редирект или взлом с редиректом Joomla 3.10

Автор Wany205

Ответов: 1
Просмотров: 879
Последний ответ 25.05.2023, 08:49:57
от Театрал
Скрипты защиты Joomla 4

Автор mister_boy

Ответов: 6
Просмотров: 1076
Последний ответ 16.05.2023, 16:38:58
от mister_boy
Поставил Joomla 4. Хостинг nic.ru стал ругаться на ошибки безопасности

Автор Oleg+

Ответов: 5
Просмотров: 1362
Последний ответ 13.09.2021, 09:23:28
от Oleg+
Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

Ответов: 28
Просмотров: 13103
Последний ответ 25.04.2021, 19:42:48
от rsn
Заражены файлы картинок движка Joomla 3

Автор krog

Ответов: 5
Просмотров: 1275
Последний ответ 16.04.2021, 08:16:45
от Taatshi