Добро пожаловать, Гость. Пожалуйста, выберите Вход или Регистрация
Привет.лв Главная Справка Поиск Вход Регистрация
Страниц: 1
Печать Bookmark and Share
Удалить этот блок рекламы?
Удали рекламу
Einplac CMS v2.3 - Новые функции в безопасности. (Прочитано 3068 раз)
Ramzies
Администратор
*****
Вне Форума

Все что случается
имеет причину.

Сообщений: 2632
Даугавпилс, Валмиера.
Пол: male
Einplac CMS v2.3 - Новые функции в безопасности.
18.05.2011 :: 10:30:30
 
Вчера был приятно удивлен получив письмо от достаточно серьезной Латвийской организации.
Письмо было из множество приятных слов в адрес Einplac CMS.

И с достаточно на мой взгляд необычной просьбой, улучшить шифрование пароля (хеша) и еще больше ужесточить вход в админку.

В новой 2.3 версии Einplac уделил этому большее внимание.


Спешу сообщить что все старые версии так же используют шифрование пароля.
Код:
md5('пароль');  



Тоесть открыв ваш файлик password.php, или открыв cookie, вместо вашего пароля вы увидите закодированную строчку. Например вот так выглядит зашифрованный пароль: admin: Код:
<?php $password="21232f297a57a5a743894a0e4a801fc3"; ?>  


Тоесть узнать что у вас здесь за пароль очень сложно. При условие что вы не используете что-то очень простое.


В новой версии Einplac шифрование происходит не 1 раз как в предыдущих а 3 раза и еще с подсовыванием дополнительного текста Код:
md5(md5($salt).md5('пароль'));  


Подобный способ насколько я помню использует IPB 2.*

Тоесть эта строчка шифрует пароль, потом берет случайный текст, который так же шифрует. И потом наш зашифрованный пароль и случайный зашифрованный текст соединяет вместе и еще раз шифрует. Что усложняет в сотни раз подбор пароля.


Для перехода c v2.2 на v2.3 необходимо обновить index.php так же рекомендуется обновить локализации (/files/lang.php) - если они установлены. Если вы хотите использовать новый принцип шифрования пароля. Вам необходимо переписать пароль. Когда авторизуетесь нажмите "Change your password?" (Изменить пароль?) далее в верхней ячейки напишите свой пароль и в нижней так же еще раз свой пароль. После чего пароль сгенерируется по новому принципу.


Да о этом случайном тексте в пароле. В веру файлика index.php вашей Einplac CMS появилась новая переменная Код:
$salt = '4rGe35ktY'; 

в ней и есть этот случайный текст. Если вы хотите еще усложнить работу злоумышленникам измените 4rGe35ktY на что-то другое. Пишите там цифры, буквы - как маленькие так и большие. Будет здорава если это поле будет содержать от 5 до 10 символов.
ВАЖНО: Измените эти символы перед тем как вы обновите или измените пароль. Иначе вам не получится в дальнейшем пройти авторизацию. В таком случае вам нужно будет удалить файл password.php, после чего пароль сбросится на стандартный admin и тогда измените его на ваш новый.




Так же в 2.3 версии в index.php появилась переменная Код:
$range_ip = 'all';		// Allow IP: 'all' or IP or IP1,IP2,IP3 


Здесь вы можете вместо all указать 1 или несколько IP (через запятую без пробелов) которые смогут зайти в админку, всем другим доступ будет запрещен даже если они знают пароль. Если указано all авторизоваться могут любые IP адреса (которые знают пароль).



Изменено:
Еще что касается этих (хешей) принципов шифрования пароля. Вам не обязательно менять пароль. Вы можете его оставить в старом зашифрованном виде. Это тоже безопасно. К тому же злоумышленник сбит с толку, он не знает по какому принципу расшифровывать пароль, или по новому или по старому.

Авторизация происходит так Код:
  if (((md5(md5($salt).md5(POST('password'))) == $password) or (md5(POST('password')) == $password)) and (in_array($ip_user,explode(',',$range_ip)))){ 


Тоесть, мы принятый пароль от человека который пытается авторизоваться шифруем новым способом. И сравниваем, если наш зашифрованный пароль и его не одинаковы, то пробуем шифровать пароль старым способом, и опять сравниваем если они так же не одинаковы то не пропускаем его.
Наверх
 
« Последняя редакция: 26.07.2011 :: 12:25:51 от Ramzies »  

Просмотр медиа-файлов и переход по ссылкам доступен только для Участников Форума!  Вы нуждаетесь в Вход или Регистрация!!
Научись говорить, что ты _х_о_ч_е_ш_ь, вместо точго, чего ты _н_е_ _х_о_ч_е_ш_ь...
WWW Ramzies renat2985   IP записан
DiM
Никем не отмечен
*
Вне Форума



Сообщений: 11

Re: Einplac CMS v2.3 - Новые функции в безопасности.
Ответ #1 - 05.07.2012 :: 20:50:36
 
Цитата:
Так же в 2.3 версии в index.php появилась переменная Код:
$range_ip = 'all';            // Allow IP: 'all' or IP or IP1,IP2,IP3


Здесь вы можете вместо all указать 1 или несколько IP (через запятую без пробелов) которые смогут зайти в админку, всем другим доступ будет запрещен даже если они знают пароль. Если указано all авторизоваться могут любые IP адреса (которые знают пароль).

Если мне нужно разрешить не для конкретного IP-адреса, а для всей подсети, так как динамический IP, как это сделать?
Синтаксис вида 1.2.3. или 1.2.3.* не работает.
Наверх
 
 
  IP записан
Страниц: 1
Печать Bookmark and Share
www.privet.lv

Privet.lv/forum » Powered by YaBB 2.2.3 (fix)!
YaBB © 2000-2012. Все права защищены.
Valid RSS Valid XHTML Valid CSS Powered by Perl Source Forge