Вход
Регистрация
ПомощьНа какую директорию поставить пароль, что бы дополнительно защитить админ панель Magento?
- Группа: Клиент
- Сообщений: 42
- Регистрация: 20.10.2012
29.10.2012 19:21
На какую директорию поставить пароль, что бы дополнительно защитить админ панель Magento?
- Администратор
-
- Группа: Администратор
- Сообщений: 8995
- Регистрация: 20.02.2010
29.10.2012 20:36
Защитить от чего конкретно?
- Администратор
-
- Группа: Администратор
- Сообщений: 8995
- Регистрация: 20.02.2010
30.10.2012 14:29
От каких видов взлома защищает «пароль на директорию» в сравнении со стандартной процедурой идентификации администратора в Magento?
- Группа: Пользователь
- Сообщений: 2
- Регистрация: 16.11.2012
16.11.2012 18:04
Это защищает от всех видов взлома через уязвимости PHP.
Поскольку "пароль на директорию" решается средствами веб-сервера (до PHP-интерпретатора), то, не взломав этот пароль (брутфорсом?), нет возможности получить доступ к уязвимостям PHP. Другой вопрос заключается в архитектуре самой Magento: отличается ли чем-то PHP-код для админки от остального PHP-кода или там всё лежит в куче и смысл огораживать админку отдельно от остального общедоступного кода может отсутствовать в таком случае.
Другой аспект -- это брутфорс, нагрузка на скрипты и временный автобан по неправильным паролям.
Злоумышленник должен будет сначала взломать "пароль на каталог", которым управляет веб-сервер, прежде чем получить возможность насиловать php-скрипты админки своим брутфорсом. То есть "пароль на каталог" нужен, чтобы не создавать лишнюю нагрузку попытками подбора пароля и не провоцировать временный автобан, который может существовать и быть настроен на несколько неправильных вводов пароля за некоторое время.
Поскольку "пароль на директорию" решается средствами веб-сервера (до PHP-интерпретатора), то, не взломав этот пароль (брутфорсом?), нет возможности получить доступ к уязвимостям PHP. Другой вопрос заключается в архитектуре самой Magento: отличается ли чем-то PHP-код для админки от остального PHP-кода или там всё лежит в куче и смысл огораживать админку отдельно от остального общедоступного кода может отсутствовать в таком случае.
Другой аспект -- это брутфорс, нагрузка на скрипты и временный автобан по неправильным паролям.
Злоумышленник должен будет сначала взломать "пароль на каталог", которым управляет веб-сервер, прежде чем получить возможность насиловать php-скрипты админки своим брутфорсом. То есть "пароль на каталог" нужен, чтобы не создавать лишнюю нагрузку попытками подбора пароля и не провоцировать временный автобан, который может существовать и быть настроен на несколько неправильных вводов пароля за некоторое время.
