24/08/15 Открыта запись на обучение вёрстки для майбба - ссылка на тему

Избранные уроки Photoshop

Эпиграф в стиле tumblr (перевод windymind)

Вверх
Вниз

COLOR MATE

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » COLOR MATE » Статьи » Меры безопасности для вашего форума

Меры безопасности для вашего форума

Страница: 1

Сообщений 1 страница 9 из 9

1

  • Автор: morgan
  • главный по горшкам
  • morgan
  • Зарегистрирован: 27-07-2012
  • Приглашений: 0
  • Сообщений: 4222
  • Уважение: +1775
  • Позитив: +1413
  • Пол: Мужской
  • Провел на форуме:
    2 месяца 25 дней
  • Последний визит:
    12-03-2019 02:02:54

Большинство администраторов форумов считают, что взлома на их форуме никогда не будет, и чаще всего именно таким админам уготовлен сюрприз вида "неправильный пароль, такого е-мейла не существует" и т.д. Давайте рассмотрим меры безопасности самого сервиса.
- ограничение запросов;
Если вы введёте 5 раз неверный пароль - повторно ввести сможете уже через определенное количество времени. Полезная штука, спору нет.
- возможность скрытия е-мейла в профиле;
Неэффективно. Даже при скрытом е-мейле, вычислить его совсем нетрудно. Достаточно отправить с форума через е-мейл сообщение админу (если админ разрешил это, а 99% админов это разрешают) и адрес уже есть. Дальше дело техники - включил генератор и взломал почту, а через неё - профиль.
- ip ограничение;
Глупо. У большинства провайдеров ip скачут как конь педальный в понедельник, то есть меняется адрес при каждой перезагрузке модема. Этой функцией вряд-ли кто-то пользуется, да и понятное дело - ограничить себе же любимому доступ на свой форум как-то не круто звучит. Если сделаете - будете долгими ночами перезагружать модем, в надежде, что старый ip генерируется вновь.

Ниже я предлагаю пару способов как обезопасить свой аккаунт от взлома. Если соблюдать эти правила, взломщик состарится, но ничего взломать не сможет.

1. Самое главное правило - отделяйте глав. админский аккаунт. На ролевых его вполне можно сделать Гейм Мастером или просто профиль, от которого будете публиковать объявления, сюжет и т.д. Это так-же пригодится во избежании ситуации, когда вам придётся покинуть ролевую на время, но доступ к глав. админу будет у других админов, что очень удобно.

2. Никогда не производите манипуляции с пользователями через глав. аккаунт. Особенно не меняйте им пароли, так очень легко взломать профиль, если руки дойдут. Меняйте всё с простого админа, глав. акк подойдёт для того, чтобы убрать из админов, создать резервную копию или другие манипуляции с форумом, но не с пользователями.

3. Регистрируйте почту на надежном сервисе. Mail.ru - яркий пример ненадёжности. У майла есть "мой мир", через который легко можно узнать адрес вашей почты, как, впрочем, и через соц. сеть "Одноклассники". Приведу пример моей архитектуры:
У меня зарегистрировано 4 аккаунта на yandex.  Один - для ролевых, второй - для социалок и прочих проектов, третий для админского майла моих проектов, а четвёртый собирает почту со всех этих аккаунтов (у всех трёх, четвёртый указан как резервный). Во-первых, я нигде не свечу свой главный акк почты, а при взломе одного из трёх - я могу вернуть доступ через главный акк. Советую вам так-же разрабатывать схему безопасности, ведь почта - главный гарант того, что вас не взломают.

4. Устанавливайте абсолютно разные пароли для всех своих аккакнтов, к тому-же попытайтесь избегать логики. К примеру, summer90 легко взломать, а вот 754SuMMeR356 очень сложно. Используйте разный регистр букв, ведь сервис форумов чувствителен к регистру.

5. Будьте внимательны, где вы регистрируетесь. Если вы уходите с форума, но ваш профиль не удаляют, обязательно поменяйте адрес почты в профиле. Следующий пользователь вашего профиля или любой член админ-состава форума может видеть адрес вашей почты, и впоследствии нагадить вам.

+6

2

  • Автор: cappellaio matto
  • я есмь клевер
  • cappellaio matto
  • Откуда: Сыктывкар(Эжва)
  • Зарегистрирован: 15-04-2011
  • Приглашений: 0
  • Сообщений: 2115
  • Уважение: +662
  • Позитив: +367
  • Пол: Мужской
  • Возраст: 27 [1997-06-24]
  • Провел на форуме:
    9 дней 18 часов
  • Последний визит:
    20-04-2015 10:22:32

Очень полезная статья!!!

0

3

  • Автор: фаннюш
  • фанькоманькин)
  • фаннюш
  • Зарегистрирован: 26-12-2011
  • Приглашений: 0
  • Сообщений: 77
  • Уважение: +9
  • Позитив: +17
  • Пол: Женский
  • Провел на форуме:
    2 дня 1 час
  • Последний визит:
    26-12-2015 22:46:04

СПАСИБО огроменное))сейчас пойду и обезопашусь так, что фига взломают они) http://www.10pix.ru/img1/600667/3475845.gif

0

4

  • Автор: Мося
  • нечисть
  • Мося
  • Зарегистрирован: 30-10-2011
  • Приглашений: 0
  • Сообщений: 1729
  • Уважение: +433
  • Позитив: +235
  • Провел на форуме:
    19 дней 8 часов
  • Последний визит:
    26-11-2016 00:27:12

А дополнить можно от себя?

В силу того, что многие набирают модеров-админов со стороны через поиск, очень многие на такой развод попадаются:

Брать в соадмины только проверенных людей или хотя бы тех, с кем есть постоянная связь: аська, скайп, вконтакт или что угодно. Не вестись на сообщения в гостевой, где якобы ваш соадмин просит сменить ему пароль, потому что он его забыл.
Если появилось такое сообщение, не спешите менять пароль, сначала напишите вашему соадмину и узнайте, он ли это, хотя логично предположить, что соадмин обратился бы лично к вам по той же асе, так что Гостя слать в баню. Тоже самое бывает с "нового" номера аси, а не в гостевой. Алгоритм действий тот же.

Отредактировано Мося (19-11-2012 03:55:34)

0

5

  • Автор: morgan
  • главный по горшкам
  • morgan
  • Зарегистрирован: 27-07-2012
  • Приглашений: 0
  • Сообщений: 4222
  • Уважение: +1775
  • Позитив: +1413
  • Пол: Мужской
  • Провел на форуме:
    2 месяца 25 дней
  • Последний визит:
    12-03-2019 02:02:54

Мося
Это уже из разряда ума, а не безопасности  :D
Да, находятся в сети индивидуумы, умудряющиеся терять форум по таким нелепым путям :)

0

6

  • Автор: Harper
  • just дуй it
  • Harper
  • Откуда: город пыли и бетона
  • Зарегистрирован: 26-08-2011
  • Приглашений: 0
  • Сообщений: 156
  • Уважение: +18
  • Позитив: +15
  • Пол: Женский
  • Провел на форуме:
    1 день 21 час
  • Последний визит:
    27-08-2014 14:32:49

Еще одна проверянная схема - игрок пишет в гостевую, мол, я, допустим Милисента Графская, милый админ, смени мне пароль на 1111. И админ, не проверяя меняет пароль. В итоге он захвачен злоумышленником, который впоследствии может попросится в админку и прочее. Второй вариант - успевает зайти человек, который только и делает, что поджидает такую забывашку. Зашел быстрее и все - профиль твой. Обычно я меняю почту на пароль, и говорю в гостевой, что пароль - ваша почта. Конечно, это далеко не 100% гарант от взлома, но куда весомей зловредного 1111.

+2

7

  • Автор: rsersh
  • я есмь клевер
  • Зарегистрирован: 12-10-2014
  • Приглашений: 0
  • Сообщений: 3
  • Уважение: 0
  • Позитив: 0
  • Пол: Мужской
  • Возраст: 34 [1990-08-27]
  • Провел на форуме:
    2 часа 1 минуту
  • Последний визит:
    31-10-2014 23:11:58

"генераторы" что за генераторы? брутфорсеры? ими только школота пользуется сейчас, люди посерьёзней используют дедикадент сервер для отправки через

подставной аккаунт

делается почта на яндексе через тот-же дедик или тор или другой метод анонимизации, на эту почту регистрируется аккаунт на форуме-чате-сайте, и с него отправляется всякая лажа с кодами. Чаще всего это яндекс или майл так как неимеют толковых фильтров для защиты от таких кодов особенно удобен яндек в том плане что там есть возможность регатся невводя телефон(на ту-же левуб симку всё и регистрируется на телефон за 100 рублей который покупается гдето неизвестно где) вс очень серьёзно и это не шуточки если такой человек имеет несколько левых симок(это может быть и симка знакомого или соседа)

код приходящий на почту является нечем иным как ссылкой на ресурс где из браузера вытаскиваются все данные(браузер добровольно отдаёт всё что нужно  тоесть проще говоря куки-сокиес) и даьше вы топаете по ссылке например на контак якобы вам пришло сообщение от администрации вк что бы прочесть нажмите здесь. А брутами пользуется школота, они неопасны если у вас пароль нормальный а не тиа

Код:
 пароль paspopt  12345

или тому подобных, есть генераторы паролей ставьте на 20 знаков непроманётесь и несохранять для этого сайта заходите через тор или делайте привязку к айпи и сохраняйте это всё на флешке в блокноте(ник адрес и пароль)
Кстати пускай всегда пишут требуемые пароли под скрытым текстам под уевой хучей девыток иначе мол непринимаем и с подтверждением по средствам связи, или регайтесь по новой.

0

8

  • Автор: morgan
  • главный по горшкам
  • morgan
  • Зарегистрирован: 27-07-2012
  • Приглашений: 0
  • Сообщений: 4222
  • Уважение: +1775
  • Позитив: +1413
  • Пол: Мужской
  • Провел на форуме:
    2 месяца 25 дней
  • Последний визит:
    12-03-2019 02:02:54

rsersh
Зачем тут фигурирует Тор? На вашу анонимность на форумах всем плевать. Или вы думаете, что пароль можно забрать из кук?

rsersh написал(а):

люди посерьёзней используют дедикадент сервер

Толку? ip у сервера статичный, бану отлично поддаётся.

rsersh написал(а):

с него отправляется всякая лажа с кодами.

Какая ещё лажа? На майббе можно своровать пароль только путём подбора, ну или соц инженерия, ну или взломом почты (которую нужно заранее знать). Коды некуда посылать, ибо везде есть парсинг, можно лишь уповать на то, что админ поставил некий хитрый скрипт, позволяющий вставлять код в сообщения.

0

9

  • Автор: rsersh
  • я есмь клевер
  • Зарегистрирован: 12-10-2014
  • Приглашений: 0
  • Сообщений: 3
  • Уважение: 0
  • Позитив: 0
  • Пол: Мужской
  • Возраст: 34 [1990-08-27]
  • Провел на форуме:
    2 часа 1 минуту
  • Последний визит:
    31-10-2014 23:11:58
morgan написал(а):

rsersh
Зачем тут фигурирует Тор? На вашу анонимность на форумах всем плевать. Или вы думаете, что пароль можно забрать из кук?

Толку? ip у сервера статичный, бану отлично поддаётся.

Какая ещё лажа? На майббе можно своровать пароль только путём подбора, ну или соц инженерия, ну или взломом почты (которую нужно заранее знать). Коды некуда посылать, ибо везде есть парсинг, можно лишь уповать на то, что админ поставил некий хитрый скрипт, позволяющий вставлять код в сообщения.

у деддика моща вычисления на порядки выше чем у обычного компа которым пользуются школолоиды он  нужен для того чтоб использовать его вычислительные способности. Вычислительная мощь нужна для брута и передачи данных кудато ещё, а неумные людики могут брутить только пароли по стопятьсот тыщь паролей за раз, в то время как перебор используется уже не столько для паролей сколько для отсеивания других вариантов например после массовой рассылки пользователям и ожидания ответа на почте узнать таким образом какие ящики используются тут нужна вычислительная мощьность у обычного компа будет её нехватать плюс сервисы для анонимности чтоб не палится, если дедик не одноразовый.

если это не может сработать на мубе тогда я не знаю как тогда у кучи админов упёрли их права при том что они нигде не светили почту и пароль ставили вполне адекватный. есть конечно защита от сниферов но что-то незаметно что бы муб что-то использовал, может мои данные просто устарели тогда извиняюсь но на всякий не помешает знать.

0

Страница: 1

Вы здесь » COLOR MATE » Статьи » Меры безопасности для вашего форума