Autor Zpráva
ctverecek
Profil
Zdravim, je nejak mozne zabezpecit cele stranky na FTP? Tak aby nejaky hacker nemohl prez chytre programky obsah FTP stahnout? Jde to nejak prez .htaccess ci neco podobneho?
Ghosting
Profil
Trochu pomateny dotaz. Jednotlive slozky na webu jdou z "venku" zabezpecit pres .htaccess. Ale kdyz ma utocnik hesla do FTP serveru tak si je muze stahnout.
ctverecek
Profil
Jasny...ale kdyz treba ten clovek vi ze ve strance www.neco.cz/hesla.php jsou hesla k pristupum do DB tak jak tu stranku(soubor) hesla.php zabezpecit? Protoze kdyz napise www.neco.cz/hesla.php zobrazi se mu obsah hesla.php
habendorf
Profil
ctverecek:
Protoze kdyz napise www.neco.cz/hesla.php zobrazi se mu obsah hesla.php

No to snad ne :o)

Navíc hesla se obvykle neuchovávají v syrové podobě.
Ghosting
Profil
Musis to ochranit pres PHP, pokud je to script tak si ho nestahne, server ho zpracuje.
Hitman
Profil
ctverecek

Pokud tam chceš ty hesla mít napsané, ale nechceš, aby je někdo viděl po zadání adresy, tak v .htacces zakaž spuštění té adresy. Ale s FTP to nemá nic společného, pokud se někdo dostane na FTP, hesla uvidí.

//

Ghosting

Co za dvě minuty nestihneš napsat :-). To je taky možnost, pokud s těmi hesly pracuje na straně severu.
ctverecek
Profil
OK dam vam priklad...mam www stranky ktere maji svoji mini administraci. Stranka pro prihlaseni vypada takto:

<? session_start();     //NASTARTOVÁNÍ SESSION
if ($_POST[user]=="admin" && $_POST[password]=="admin"){ //POKUD JE SCHODNÉ UŽ.JMÉNO A HESLO
  $_SESSION[login]=1;  //ULOŽÍ DO PROMĚNNÉ $_SESSION[login] HODNOTU 1
  }
if ($_GET[logout]==1){  //POKUD BUDE V PROMĚNNÉ $_GET[logout] ULOŽENA 1
  session_destroy();    //ZRUŠÍ SE SESSION
  unset($_SESSION[login]);    //ZRUŠÍ SE SESSION
  }
if (isset($_SESSION[login])){   //POKUD JE ULOŽENA V $_SESSION[login] HODNOTA, PROVEDE SE PŘIPOJENÍ K DB
  include "../configuration.php";          //NAINCLUDUJE SOUBOR S PŘÍSTUPOVÝMÍ DATY K DATABÁZI   
  $spojeni=MySQL_Connect("$db_server", "$db_user", "$db_password");  //PŘIPOJENÍ K DB
  MySQL_Query("set names 'utf8'");       //ZAJISTÍ ABY DATA Z DB BYLI V KÓDOVÁNÍ UTF-8
  MySQL_Select_DB("$db_database");		    //VÝBĚR DB
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <meta name="generator" content="PSPad editor, www.pspad.com">;
    <title>Administrace</title>
    <link rel="stylesheet" type="text/css" href="./styladmin.css" />
    <link rel="shortcut icon" href="favicon.ico" /> 
  </head>
  <body>      
    <div id="obsah">
.
.
.
atd.


Jak je mozne ze nejaky uzivatel prisel na to ze se tam prihlasi jako admin s heslem admin? Vim ze by se ty hesla treba meli ulozit pomoci MD5tky do nejaky DB ale ted me zajima jak on zjistil to heslo a uz.jm.
habendorf
Profil
ctverecek:
ale ted me zajima jak on zjistil to heslo a uz.jm.


Protože admin/admin je první, co každý zkusí.
habendorf
Profil
ctverecek:


Hele, jsi normální? http://www.proucetnictvi.cz/administrator/admin.php?idcko=kalendar a ještě nám řekneš login/heslo. Na vyučenou jsem ti smazal z kalendáře id=42 a koukej s tím něco rychle udělat, než přijde někdo surovější.
ctverecek
Profil
OMG ale kdybych ti to nerekl tak jak bys na to prisel-jestli bys na to prisel? O to mi jde!
Mastodont
Profil
Bude prostě zkoušet různé kombinace těch základních jmen a hesel.
Hitman
Profil
ctverecek

Proč si tam nedáš nějaké normální heslo? Nebo standartně používáš hesla jako: admin, heslo...?

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: