Witamy na polskim forum Contao
Zarejestruj się teraz, aby skorzystać ze wszystkich funkcji forum. Kiedy się zalogujesz, będziesz mógł tworzyć tematy, pisać posty, rozdawać punkty reputacji, korzystać z prywatnych wiadomości i zarządzać swoim profilem. Jeśli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj się już teraz!

Wykrywanie Javascriptu wyłączone

Masz wyłączony javascript. Niektóre funkcje mogą nie działać. Proszę włączyć javascript aby mieć dostęp do pełnej funkcjonalności.

BezpieczeÅ„stwo w Typolight

Rozpoczęte przez chinskimandaryn, May 07 2009 09:30

Proszę się zalogować aby odpowiedzieć

4 odpowiedzi na ten temat

#1
chinskimandaryn

Napisany 07 May 2009 - 09:30

Ekspert

Zarejestrowani
332 postów

Strona www:zobacz
LokalizacjaPolska

Po instalacji systemu pozostaje potencjalne niezabezpieczone miejsce
../typolight/install.php

Dołączona grafika

By się włamać nie trzeba znać loginu, wystarczy tylko mechanizm, który by wpisywał hasła. A więc wystarczy (poprzez Google) znajdować serwisy na Typolight a następnie podjąć próbę wpisywania haseł (wystarczy tylko przygotować słownik z takimi hasłami które będzie wpisywał automat).

No tak, ale jakie hasła wpisywać?

Użytkownicy w większości nie stosują jakiś bardziej skomplikowanych haseł, a zdarza się, że mają jedno do wszystkich swoich kont, stron itp.
http://www.ks-eksper... ... eczne.aspx

W dodatku niektórzy nie wysilają się i dają hasła w stylu "123456":
http://www.polskiera...tykul90952.html

Jak to można by zabezpieczyć?

Dobrym rozwiązaniem jest wprowadzenie dodatkowego hasła na katalog:
../typolight/

Najlepszym rozwiązaniem jest zastosowanie

.htaccess
(http://www.webowe.pl...dstawy-czesc-i/)
Dzięki któremu można:
1) Ograniczyć dostęp do administracji z konkretnego IP
2) Zabezpieczy dodatkowym loginem / hasłem

0

OpenAtrium - system zarządzania projektami na twoim hostingu.
Aplikacja będąca połączeniem systemu zarządzania projektami, intranetu i bazy wiedzy.
Open Source, GPL, blog, kalendarz, listę zadań, wiki, tablica kontrolna, mikroblog ...

Wróć do góry
Raportuj

#2
Crass

Napisany 07 May 2009 - 12:10

Bywalec

Zarejestrowani
26 postów

a nie latwiej zmienic nazwe pliku install.php na dowolna ? i ewentualnie przy instalacjach zmieniać z powrotem ?

0

Wróć do góry
Raportuj

#3
spin80

Napisany 07 May 2009 - 14:04

Ekspert

Zarejestrowani
296 postów

Strona www:zobacz

Jeśli wpiszemy trzy razy błędne hasło to otrzymamy info

The install tool has been locked

For security reasons the install tool has been locked. This happens if you enter a wrong password more than three times in a row. Please open the local configuration file and set installCount to 0.

I nici z naszego włamania.

No chyba, że ktoś odgadnie hasło w trzech próbach

0

Agencja Interaktywna 7seconds - Wdrożenia Contao - Typolight

Wróć do góry
Raportuj

#4
Kamil

Napisany 07 May 2009 - 15:17

Contao ambassador

Administratorzy
1538 postów

Strona www:zobacz
LokalizacjaLidzbark Warminski

Można również wklepać exit; na koniec pliku (przynajmniej kiedyś tak było).

0

Codefog - Contao web development

Wróć do góry
Raportuj

#5
chinskimandaryn

Napisany 08 May 2009 - 16:27

Ekspert

Zarejestrowani
332 postów

Strona www:zobacz
LokalizacjaPolska

Jeśli wpiszemy trzy razy błędne hasło to otrzymamy info
The install tool has been locked

For security reasons the install tool has been locked. This happens if you enter a wrong password more than three times in a row. Please open the local configuration file and set installCount to 0.
I nici z naszego włamania.

No chyba, że ktoś odgadnie hasło w trzech próbach

O tego nie wiedziałem ... czyli jednak o tym pomyśleli !!!
"Lepiej dmuchać na zimne" ... brawo Typolight!!! ... a już się bałem :-)

0

OpenAtrium - system zarządzania projektami na twoim hostingu.
Aplikacja będąca połączeniem systemu zarządzania projektami, intranetu i bazy wiedzy.
Open Source, GPL, blog, kalendarz, listę zadań, wiki, tablica kontrolna, mikroblog ...