Forum » Izdelava spletišč » .htaccess varnost
.htaccess varnost
'FireSTORM' ::
kako varno je dejansko tole?
ali bo bolj ziher da napišem svoj php skript ki zahteva up. ime in geslo?
rabil bi pa max varnost
ali bo bolj ziher da napišem svoj php skript ki zahteva up. ime in geslo?
rabil bi pa max varnost
Those penguins.... They sure aint normal....
dolegar ::
Če gre vse skupaj preko nezavarovane povezave je praktično vseeno ali delaš z PHP ali .htaccess. je pa res, da je "lažje" prebrat headerje za preverjanje preko .htaccess ker pri php-ju (forme) imaš neko svojo spremenljivko (poljubno ime) pri .htaccessu pa je standardizirano in sta vedno enaki sprmenljivki...
'FireSTORM' ::
preprostost ne igra nobene vloge ko je v vprašanju varnost
raje 3 dni skupaj sedim za tem in imam potem varno
bi pa imel preko ssl povezave
raje 3 dni skupaj sedim za tem in imam potem varno
bi pa imel preko ssl povezave
Those penguins.... They sure aint normal....
DejanLX ::
100% varnosti ne moreš doseči. Drugače pa obvezno preko SSL. PHP je vsekakor zanesljiv glede tega in jaz bi uporabil php.
'FireSTORM' ::
vem da 100% nažalost ni
ampak rad bi se čimbolj približal tej številki
ker rabim res maximalno varnost kar jo lahko ustvarim
ssl je že postavljen, zdaj še samo čakam da nekdo pove, to je boljše in to zato ker je to in to...
ampak rad bi se čimbolj približal tej številki
ker rabim res maximalno varnost kar jo lahko ustvarim
ssl je že postavljen, zdaj še samo čakam da nekdo pove, to je boljše in to zato ker je to in to...
Those penguins.... They sure aint normal....
gregy ::
jaz uporabljam htaccess (user/pass), ki je pa vezan še na IP odstop .. se pravi dostop je možen samo iz dveh IPjev in z enim geslom ...
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX<br />
Vstopnice.com so moja strast ...
Vstopnice.com so moja strast ...
'FireSTORM' ::
to mi ravno ne pride v poštev da bi omejil na nekaj IPjev
morda bi prišlo v poštev 1-2 povezavi na enkrat maximalno na točno določeno stran oz. skript
ampak če je lastna napisana php koda boljša kot htaccess bi raje napisal php kodo
morda bi prišlo v poštev 1-2 povezavi na enkrat maximalno na točno določeno stran oz. skript
ampak če je lastna napisana php koda boljša kot htaccess bi raje napisal php kodo
Those penguins.... They sure aint normal....
'FireSTORM' ::
nebo to malo nadležno?
vpiši geslo
in spet vpiši geslo...
vpiši geslo
in spet vpiši geslo...
Those penguins.... They sure aint normal....
Looooooka ::
lockas userja na ip...ce pa to se ni dovolj velka paranoja...pac pises trenuten SESSIONID v bazo direkt ob logiranega userja...in namesto da v cookie spravlas username pa password spravlas SessionID.Ce se logira kdo drug s tem usernamom...se v bazo spet zapise njegov sessionid in poof prejsni user je odlogiran.Tko da ni sans da bosta kadarkol 2 z istim loginom na strani.
SSL mas pa pac za neko varnost med streznikom pa klientom.
Vec od tega je pa ze pretiravanje ... razn ce gre za kksne prenose datotek.Pol pa se tiste na strezniku lepo enkriptas s kksnim pgpjem...jih zapises v bazo in podpises s kksnim timestamp serverjem.
SSL mas pa pac za neko varnost med streznikom pa klientom.
Vec od tega je pa ze pretiravanje ... razn ce gre za kksne prenose datotek.Pol pa se tiste na strezniku lepo enkriptas s kksnim pgpjem...jih zapises v bazo in podpises s kksnim timestamp serverjem.
'FireSTORM' ::
no zdaj če malo razkrijem svoj plan
zakaj to sploh delam
rad bi nekaterim uporabnikom dodelil možnost da bi preko web java apleta delali z sudo
web java aplet bi bil zaklenjen samo na to
sudo bi bil pa prirejen samo na nekaj ukazov
ampak imel bi narejeno tako, da bi jaz kot root dodal novega userja za .htaccess ali php kodo(katero bom pač uporabil)
in ti userji bi bili prisiljeni da si vsake toliko časa morajo spremeniti geslo in geslo bi moralo biti, vsaj 3 lowcase znake, vsaj 3 upcase znake in vsaj 3 številke
potem rabil bi pa tudi za phpmyadmin(ampak tu mislim da je htaccess in ssl dovolj)
je to sploh pametno delati? da preko weba lahko nekdo šara po strežniku z root pravicami?
ali naj za to še vedno uporabljam plain sshv2 in sudo?
drugače ssl je pa samo enkripcija podatkov ki so poslani med serverom in uporabnikom kajne?
torej če kdo na bilo kerem koncu sniffa paketke vidi samo "smeti" ali pač?
zakaj to sploh delam
rad bi nekaterim uporabnikom dodelil možnost da bi preko web java apleta delali z sudo
web java aplet bi bil zaklenjen samo na to
sudo bi bil pa prirejen samo na nekaj ukazov
ampak imel bi narejeno tako, da bi jaz kot root dodal novega userja za .htaccess ali php kodo(katero bom pač uporabil)
in ti userji bi bili prisiljeni da si vsake toliko časa morajo spremeniti geslo in geslo bi moralo biti, vsaj 3 lowcase znake, vsaj 3 upcase znake in vsaj 3 številke
potem rabil bi pa tudi za phpmyadmin(ampak tu mislim da je htaccess in ssl dovolj)
je to sploh pametno delati? da preko weba lahko nekdo šara po strežniku z root pravicami?
ali naj za to še vedno uporabljam plain sshv2 in sudo?
drugače ssl je pa samo enkripcija podatkov ki so poslani med serverom in uporabnikom kajne?
torej če kdo na bilo kerem koncu sniffa paketke vidi samo "smeti" ali pač?
Those penguins.... They sure aint normal....
jernejl ::
samo na eno malenkost naj opozorim (sicer ni nič posebnega, le marsikdo na to pozablja):
če omejiš dostop s htaccess, lahko omejiš dostop do vseh datotek (v nekem direktoriju). Če delaš zaščito s php(+mysql), lahko zaščitiš le izvajanje skript na strežniku. Če boš imel .class datoteke v nekem javno dostopnem direktoriju, lahko do teh datotek neposredno dostopa vsak (ki pozna pot do njih), ne glede na php zaščito.
če omejiš dostop s htaccess, lahko omejiš dostop do vseh datotek (v nekem direktoriju). Če delaš zaščito s php(+mysql), lahko zaščitiš le izvajanje skript na strežniku. Če boš imel .class datoteke v nekem javno dostopnem direktoriju, lahko do teh datotek neposredno dostopa vsak (ki pozna pot do njih), ne glede na php zaščito.
'FireSTORM' ::
hmz...
to pa tudi res...
hvala, saj na to niti pomislil nisem
tako..zdaj pa res nevem kaj bi bilo boljše
prej sem se nagibal k php
zdaj sem pa res nekje na sredini
sicer sem malo tudi na #php @ IRCnet spraševal in tam pravijo da php če je le koda dobro napisana
aja pa htaccess ni omejevanje v samo enem direktoriju
saj če htaccess postavim v npr. zaupno direktorij
in v direktoriju zaupno mam direktorij zelo-zaupno
in tudi .htaccess imam v zaupno mi tudi ko dostopam do zelo-zaupno direktorija zahteva geslo
to pa tudi res...
hvala, saj na to niti pomislil nisem
tako..zdaj pa res nevem kaj bi bilo boljše
prej sem se nagibal k php
zdaj sem pa res nekje na sredini
sicer sem malo tudi na #php @ IRCnet spraševal in tam pravijo da php če je le koda dobro napisana
aja pa htaccess ni omejevanje v samo enem direktoriju
saj če htaccess postavim v npr. zaupno direktorij
in v direktoriju zaupno mam direktorij zelo-zaupno
in tudi .htaccess imam v zaupno mi tudi ko dostopam do zelo-zaupno direktorija zahteva geslo
Those penguins.... They sure aint normal....
Zgodovina sprememb…
- spremenil: 'FireSTORM' ()
N0body ::
PHP ali htaccess sama posebi zahtevata zadostno varnost neglede na to katerega uporabljaš. Seveda pri tem predpostavljam da je php skripta vredu napisana.
- prednost PHPja je malce lažja administracija up imen in gesel
- preprosto lahko določiš lockdown (proti bruteforcu)
-htaccess ma prednost to kar je jernejl povedou (sam to lahko tut v phpju z enim if stavkom nardiš)
Večina takih sistemov itak pade posredno preko neke druge aplikacije (lahko tudi druge spletne strani na istem strežniku), ker oba sistema sta sama po sebi varna.
- prednost PHPja je malce lažja administracija up imen in gesel
- preprosto lahko določiš lockdown (proti bruteforcu)
-htaccess ma prednost to kar je jernejl povedou (sam to lahko tut v phpju z enim if stavkom nardiš)
Večina takih sistemov itak pade posredno preko neke druge aplikacije (lahko tudi druge spletne strani na istem strežniku), ker oba sistema sta sama po sebi varna.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako zaščititi /uploads direktorij?Oddelek: Izdelava spletišč | 2095 (1858) | MrBrdo |
» | Kako omejiti dostop do URL-ja datoteke z geslomOddelek: Izdelava spletišč | 1255 (1147) | McAjvar |
» | PHP skriptaOddelek: Izdelava spletišč | 996 (829) | Tody |
» | PHP logiranje na stranOddelek: Programiranje | 1460 (1186) | ahac |
» | .htaccesOddelek: Programiranje | 1404 (1277) | darh |