| Küsitlus |
| Kas olete peale Windows XP toe lõppemist täheldanud suuremat huvi Linuxi vastu? |
| Jah olen küll |
[ 38 ] |
   |
42% |
| Huvi on ikka sama suur |
[ 16 ] |
|
17% |
| Ei ole erilist muutust täheldanud |
[ 36 ] |
|
40% |
|
| Hääli kokku : 90 |
| [ Vaata tulemusi ] |
| Pildid |
 |
Pildi pealkiri: Ekraanipilt
Postitaja: KristjanS
postitatud: 12.11.2007, 02:17
Vaadatud: 895
Hinnang: pole hinnatud
Kommentaare: 0
|
| [ Album ] |
|
 |
| Küsimused ja vastused - hiljutine tegevus |
|---|
 | Firefoxi uuendus | Algaja küsib | 09.02.2023, 14:31 | | Firefoxi vanem versioon tagasi | Algaja küsib | 05.02.2023, 13:44 |  | Home partatsiooni tõstmine teisele partatsioonile või teisele kettale | Algaja küsib | 27.12.2022, 09:41 | | Kas EMT poolt antud netipulka Huawei E173 saab kasutada Estobuntu 14.04 juures | Mobiilsed seadmed | 06.11.2022, 17:31 | | Mis kiirklahvidega saab Eesti jutumärke Ubuntus? | Algaja küsib | 01.11.2022, 15:50 | | Kas Linux markeerib automaatselt bad sektoreid? | Varia | 30.03.2022, 20:04 | | Win 10 ja Linux ühes arvutis | Varia | 27.12.2021, 15:30 | | Hästi toimiv ID kaardi lugeja | Riistvara | 27.10.2021, 17:41 | | Grub recovery error-unknown filesystem | Algaja küsib | 16.10.2021, 18:35 | | Kuidas CDd ripida? | Tarkvara | 16.10.2021, 08:04 | | ID - kaart vs. Linux | Algaja küsib | 25.09.2021, 14:06 | | Teatame kurbusega meie kauaaegse sõbra ja tarkvara tõlkija Marek Laane lahkumisest. | Varia | 30.08.2021, 23:40 | | Ei saa vastata postitustele ega teha uusi postitusi pingviin.org'is enam. | Varia | 28.07.2021, 12:29 | | Kas pingviin.org eksisteerib vaid Id-tarkvara KKK tarbeks? | Algaja küsib | 18.07.2021, 20:37 | | Ununenud parooliga irdketta failidele ligipääsemine | Tarkvara | 18.05.2021, 21:22 | | Vajad abi? Esita küsimus siin. |
| Viimased teemad foorumis |
 | ID tarkvara |
643 | 18.04.2024, 06:38 |
|
| Openssh tagauks, mis loodi uue xz 5.6.0/5.6.1 kaudu |
643 | 06.04.2024, 21:23 |
|
| Linux Mint 21.2 on väljas |
overflow | 06.04.2024, 21:17 |
|
| Vabavara talgud 2024 |
zeroconf | 13.03.2024, 17:47 |
|
| Plasma shortcutiga käivitades kaovad ssh-agent muutujad |
DaStoned | 15.02.2024, 12:41 |
|
| rhino linux (ubuntu, rolling) |
643 | 10.01.2024, 23:03 |
|
| wubuntu |
643 | 07.01.2024, 14:04 |
|
| tõlkenali |
643 | 03.12.2023, 14:13 |
|
| Milline on Sinu desktop? |
643 | 19.11.2023, 16:36 |
|
| Ubuntu 22.04 Beelink SER6 MAX kõlaritesse ei saa heli |
Meelis | 14.11.2023, 17:05 |
|
| Süsteemiinfo (python) veebiserveri pealt |
643 | 12.11.2023, 15:03 |
|
| 500 ja refresh php-s |
643 | 11.11.2023, 11:52 |
|
| Veebibrauseritesse lisatakse riiklik nuhkvara |
643 | 10.11.2023, 11:59 |
|
| Ikka veel DDoS? |
643 | 04.11.2023, 13:22 |
|
| Vaba tarkvara õhtu 2023 |
DaStoned | 03.11.2023, 13:49 |
|
|
 postitatud 29.12.2010, 19:48 - spott |
Kuna tundub, et meie väike portaal on sattunud ühe bot-i rünnaku alla, kes järjest kõikide kasutajate kontodele sisse üritab logida, siis on Pingviini Web-i login.php fail htaccess failiga tõkestatud väljapool Euroopa Liitu. See tähendab, et foorumit lugeda saab, kuid sisse logida ei saa.
Igaks juhuks panin samasuguse piirangu peale ka Vikile. Ehk ka seal saab lugeda, kuid Userlogin.php fail on tõkestatud.
Kui keegi vajab siiski ligipääsu mujalt, siis saatke mulle meilile oma IP.
|
|
|
|
04.02.2011, 10:55 by sander85
praeguseks peaks see probleem vähemalt mõneks ajaks lahendatud olema..
@ GET vs POST päringud.. POST päring tähendab seda, et kui tahad brauseriga edasi või tagasi liikuda navi nuppudega, siis hakatakse sulle esitama küsimusi, et kas tahad ikka andmed uuesti saata.. on meil seda nagu tegelikult ka vaja kasutaja peedistamiseks? 
Võimalused
04.02.2011, 00:06 by pingviin
Pole küll kursis, mis on selle portaali mootori võimalused, aga mõned etepanekud, mida võiks kaaluda, turvalisuse tõstmiseks tuleviku tarbeks:
1. Kasutajate nimekiri kättesaadavaks ainult sisseloginud kasutajatele, kes on teinud vähemalt 1 postituse. Portaal on küll eesti keeles, aga urlist http://pingviin.org/memberlist.php järeldub, et kõikidel sama mootoritega foorumitel on see sama koha peal. See on ka koht, kust see exploit neid kasutajaid hangib, lisaks saab sealt teada veel ka maili adresi  Sama reegel kasutaja profiilide vaatamisega. Lisaks kasutaja värvid neid poleks ka vaja promoda enn, kui sisselogitud ja 1 postitus tehtud.
2. GET meetodi asemele võiks kasutajatega seotud toimingutes nagu näiteks kasutajate nimekiri, profiil ning postiused foorumis kasutada POST meetodit. See eeldab arvatavasti väheke progemist ja katsetamist. Idee on selles, et siseloginud, kui ka sisselogimata rahval pole tarvis teada, kasutaja paiknemist andmebaasis. GET seda võimaldab ning lisaks võimaldab suht lihtsasti kirjutada scripti, korjamaks kokku kõik kasutajad ning võimaldab GET väga lihtsasti kolmandalal poolel saada ligi infole, mida ta ei peaks teadma. Näiteks nimekirja esimene kasutaja on Suvi samas GET meetot räägib, et Suvi on nimekirjas alles teine (profile.php?mode=viewprofile&u=2). Ründaja järeldab sellest, kas esimene kasutaja on kustutatud, või asub seal veel kõvem superuser, et äki prooviks vaadata, mida teha saab!
3. Sisse logimata kasutajatele ei tohiks näidata ühtegi lingitut kasutajat. Kes iganes on kuskil miskit postitanud selle kasutaja nime peaks olema plain text või veel parem pesudokasutaja ala killbill või tux666
Midagi sellist
06.01.2011, 18:05 by imre
Osad, kui mitte kõik, Elioni IP'de võrgud on seal kindlasti olema.
06.01.2011, 15:50 by urmas
Niipalju infoks, et tix'i list pole täielik (ntx peaks sealt olema puudu elion ja veel üht-teist), samas ise ehitasin oma masinatele sellega ssh reeglistiku ja peale seda on igast rünnete osas tunudvalt rahulikum.
04.01.2011, 20:42 by spott
Ma leidsin, kuidas kataloog kaista, kuid lubatud IP-de lisamine on ainult läbi selle sama Zone WebFTP liidese. Ehk tuhandeid IP-sid läbi selle lisada .....
Ja seda genereeritud htaccess faili - seda ei saa ka ise muuta, et direktiive lisada vms.
sander - võid ise ka proovida. Ma katsetasin elug.pingviin.org domeeni peal ja seda korralikult lukku mul panna ei õnnestunud.
04.01.2011, 15:07 by sander85
| antik2 kirjutas: | | Soovitaks üldse mingile muule tarkvarale kolida PHPbb asemel. See BB on ammuteatatuntud auklik php disaster. Tarkvarauuendusi sellele enam vist üldse ei tehtagi.
NB. Nüüd saadki tunda "shared hostingu" rõõmusid, et ei saa ise midagi reguleerida. |
phpBB2 on vana jah, aga teadaolevaid suuri auke selles ma _hetkel_ ei tea.. sama moodi võiks bot käia kollitamas misiganes muud logimise vormi, selle vastu naljalt tõkkeid ei sea..
uuendus sellele on phpBB3 ja see on tagaplaanil ka vormistamisel, aga ajapuuduse tõttu ei juhtu kahjuks üleöö ja vajab paremat läbimõtlemist..
@NB, antud juhul ei saanud ma täpselt aru, mida spott ei leidnud või mis valesti läks, aga olen enam-vähem siiski arvamusel, et mingi võimalus on olemas..
privaserverit sellise asja pärast veel rentima ei hakka..
04.01.2011, 12:43 by antik2
Soovitaks üldse mingile muule tarkvarale kolida PHPbb asemel. See BB on ammuteatatuntud auklik php disaster. Tarkvarauuendusi sellele enam vist üldse ei tehtagi.
NB. Nüüd saadki tunda "shared hostingu" rõõmusid, et ei saa ise midagi reguleerida.
04.01.2011, 11:59 by erku
| sander85 kirjutas: | | .., ehk õnnestub mingi trikk vahele teha..
.. |
Kus ta neid kasutajaid võtab, automaatselt või sisestatakse?
On kusagil näha, milliseid paroole, millise süsteemi järgi genereeritakse.
Kui on süsteem, tee selle järgi virtuaalne kasutaja, kasutaja järgi haagi mõni liides, liides sisaldagu korralikumat viirust; Tat's it.
04.01.2011, 11:01 by sander85
proovin korra ise natuke login.php'd äkki nokkida, ehk õnnestub mingi trikk vahele teha..
e: uurides logisid, jääb siiski mulje, et keeruline on seda elukat ära peletada nii, et mõni kasutaja pihta saama ei hakka..
04.01.2011, 10:22 by spott
Müttan siin Zone FTP liidese kaudu, et saada see audentimine zone serveris tööle. Ega see eriti lihtne ei ole. Sest nende htaccess faile muuta ei saa....
|
