Seite 6 von 12
SSL
Verfasst: 03.12.2004 16:34
von bololo77
Hi
Ich habe mit Ach und Krach SSL auf dem Apache2 installiert.
So wie ich das verstehe, kann ich nun die Cookies auf dem userrechner verschlüsseln lassen. Auch der Zugang zum Admin-dir erfordert nun SSL.
Hilft das überhaupt was, oder war das nur eine lehrreiche Erfahrung für mich?
Übrigens, das SNIPPET, welches Moderatoren und Admninistratoren ausblendet, macht das aber nicht bei dem Schrieb:
"Der neueste Benutzer ist <username>"
Ein findiger Hacker wird sich nun wundern, dass dieser Nickname nicht in der Memberlist ist, und evtl. wissen, dass das ein Adminaccount ist.
Gruß
Bololo
Verfasst: 18.06.2005 12:13
von UserXY
So also ich hab mir mal so einiges durchgelesen.... aber mir fehlt noch einiges
1.) Reicht es wenn ich die Ordner Admin/Includes & DB mit einem htaccess Schutz belege (Aus dem Confixx Menü.... kennt ihr wohl)
2.) Was sollte nun genau in meiner config.php stehen wenn ich meine "original config" in den files ordner verschoben habe
3.) welche chmod rechte sollte die config.php im ordner Files haben?
4.) wie kann ich die "unechte" config.php (die wo nur die weiterleitung steht) mit einem htaccess schutz belegen.... im confixx ist es nur möglich ganze ordner zu schützen
5.) Sagen wir mal es gibt in einem Forum 6 Admins, und keiner von ihnen hat mit seinem original nickname admin rechte...... nur halt ein "versteckter" user... ist es nicht schlecht? angenommen jemand findet das passwort vom admin zugang .... dann hat kein anderer mehr admin rechte.
6.) Was soll ich für die Sicherheit der Mods tun? Ich hab auch nicht wirklich lust jeden 2 Tag im forum nachzulesen ob es ein update für irgendeinen Mod gibt......
ich hoffe ihr könnt meine fragen beantworten
mfg UserXY
Verfasst: 18.06.2005 20:34
von Dennis63
1) Ja, das ist damit gemeint
2) Ich sehe für das verschieden der Config-Datei keinen Vorteil.
3) Chmod hat mit Sicherheit wenig zu tun. Normale Rechte sind ok.
4) Sichere einfach die ganz normale config.php per .htaccess. Confixx kann das nicht, das muss man selber machen.
5) Fast Richtig. Der "Cracker" kommt dann ja noch lange nicht in das ACP rein. Aber auch ohne das kann man genug schaden anrichten. Backups machen ist hier die Divise.
6) Mods sind immer eine kritische Stelle. Da hilft es nur, regelmäßig nach Updates zu schauen.
Grüße
Dennis
Verfasst: 18.06.2005 20:50
von UserXY
2) Ich sehe für das verschieden der Config-Datei keinen Vorteil
Alle Dateien die im Ordner Files liegen kann man doch nicht im Browser aufrufen...... oder täusche ich mich da?
Verfasst: 18.06.2005 20:59
von Dennis63
Das ist richtig. Aber ein .htaccess Schutz bietet das gleiche.
Grüße
Dennis
Verfasst: 18.06.2005 21:01
von UserXY
und wie leg ich selber diesen htaccess schutz für nur eine datei an?
bzw ich hab bei irgendeinem hack ich glaub es war portal oder so eine htaccess datei raufladen müssen weiss aber nicht mal wofür
Verfasst: 06.10.2005 14:11
von michi50
Mann sollte dazu schreiben das mann für zusetzliche sicherheit denn Cracker Tracker Professional installieren sollte!
Verfasst: 06.11.2005 19:33
von mgutt
Gibt es schon eine Anleitung, wenn man das "Admin" Verzeichnis umbennen möchte und welche Files dafür alle angepasst werden müssen?
P.S. der Link aus dem ersten Post hier im Thema ist übrigens falsch. Er linkt auf sich selbst
Verfasst: 08.11.2005 21:14
von SPIKE@WAR©
Mal eine Sicherheitsfrage: In meinem Forum gibt es 2 Ordner: contrib.bak und install.bak. Diese sind wohl vom update von 2.0.17 auf 2.0.18 übriggeblieben.
Sind diese Ordner ein Sicherheitsrisiko oder sollte ich sie aus irgendwelchen Gründen auf dem Server belassen?
Verfasst: 08.11.2005 21:16
von Markus67
Hi ...
du kannst beide Ordner löschen ... die werden nicht mehr gebraucht.
Markus