Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8853

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 04.01.2011, 19:42  postituse pealkiri:  (teema puudub)  

Ma leidsin, kuidas kataloog kaista, kuid lubatud IP-de lisamine on ainult läbi selle sama Zone WebFTP liidese. Ehk tuhandeid IP-sid läbi selle lisada .....
Ja seda genereeritud htaccess faili - seda ei saa ka ise muuta, et direktiive lisada vms.
sander - võid ise ka proovida. Ma katsetasin elug.pingviin.org domeeni peal ja seda korralikult lukku mul panna ei õnnestunud.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

urmas
Pingviini kasutaja
Pingviini kasutaja


Vanus: 46
Liitunud: 25.07.2006
Postitused: 92
Asukoht: Tartu
Distributsioon: Gentoo
estonia.gif
postituspostitatud: 06.01.2011, 14:50  postituse pealkiri:  (teema puudub)  

Niipalju infoks, et tix'i list pole täielik (ntx peaks sealt olema puudu elion ja veel üht-teist), samas ise ehitasin oma masinatele sellega ssh reeglistiku ja peale seda on igast rünnete osas tunudvalt rahulikum.


imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 06.01.2011, 17:05  postituse pealkiri:  (teema puudub)  

Osad, kui mitte kõik, Elioni IP'de võrgud on seal kindlasti olema.

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

pingviin
Pingviini kasutaja
Pingviini kasutaja


Vanus: 42
Liitunud: 26.07.2005
Postitused: 52

Distributsioon: Open Suse 11.3
estonia.gif
postituspostitatud: 03.02.2011, 23:06  postituse pealkiri:  Võimalused  

Pole küll kursis, mis on selle portaali mootori võimalused, aga mõned etepanekud, mida võiks kaaluda, turvalisuse tõstmiseks tuleviku tarbeks:

1. Kasutajate nimekiri kättesaadavaks ainult sisseloginud kasutajatele, kes on teinud vähemalt 1 postituse. Portaal on küll eesti keeles, aga urlist http://pingviin.org/memberlist.php järeldub, et kõikidel sama mootoritega foorumitel on see sama koha peal. See on ka koht, kust see exploit neid kasutajaid hangib, lisaks saab sealt teada veel ka maili adresi Wink Sama reegel kasutaja profiilide vaatamisega. Lisaks kasutaja värvid neid poleks ka vaja promoda enn, kui sisselogitud ja 1 postitus tehtud.

2. GET meetodi asemele võiks kasutajatega seotud toimingutes nagu näiteks kasutajate nimekiri, profiil ning postiused foorumis kasutada POST meetodit. See eeldab arvatavasti väheke progemist ja katsetamist. Idee on selles, et siseloginud, kui ka sisselogimata rahval pole tarvis teada, kasutaja paiknemist andmebaasis. GET seda võimaldab ning lisaks võimaldab suht lihtsasti kirjutada scripti, korjamaks kokku kõik kasutajad ning võimaldab GET väga lihtsasti kolmandalal poolel saada ligi infole, mida ta ei peaks teadma. Näiteks nimekirja esimene kasutaja on Suvi samas GET meetot räägib, et Suvi on nimekirjas alles teine (profile.php?mode=viewprofile&u=2). Ründaja järeldab sellest, kas esimene kasutaja on kustutatud, või asub seal veel kõvem superuser, et äki prooviks vaadata, mida teha saab!

3. Sisse logimata kasutajatele ei tohiks näidata ühtegi lingitut kasutajat. Kes iganes on kuskil miskit postitanud selle kasutaja nime peaks olema plain text või veel parem pesudokasutaja ala killbill või tux666 Smile

Midagi sellist Wink


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 04.02.2011, 09:55  postituse pealkiri:  (teema puudub)  

praeguseks peaks see probleem vähemalt mõneks ajaks lahendatud olema..

@ GET vs POST päringud.. POST päring tähendab seda, et kui tahad brauseriga edasi või tagasi liikuda navi nuppudega, siis hakatakse sulle esitama küsimusi, et kas tahad ikka andmed uuesti saata.. on meil seda nagu tegelikult ka vaja kasutaja peedistamiseks? Smile

_________________
Image Image Image

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group