Перейти к содержимому


Фото
- - - - -

Вопрос: Авторизация Admin как пользователь


  • Чтобы отвечать, сперва войдите на форум
28 ответов в теме

#21 phukortsin

phukortsin
  • Фрилансер
  • 1 108 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 13:36

Термин "концепция" -  на мой взгляд, слишком громко сказано для небольшого описания отдельных моментов.

 

А бонусом там идет утверждение "на большинстве страниц магазина используется не более десяти SQL-запросов", которое совсем НЕВЕРНОЕ:

http://forum.simplac...и +sql-запросов

 

Если цитированное утверждение тоже входит в концепцию, то это не повышает уровень доверия к такой концепции...


Изменено: phukortsin, 23.06.2020 - 17:10


#22 alexivchenko

alexivchenko
  • Пользователь
  • 156 сообщений
  • Заказчик, Пользователь
  • Версия CMS:2.x
  • Откуда:Курск

Опубликовано 23.06.2020 - 13:47

http авторизация:

+ она закрывает всю бекенд директорию от лишних запросов

+ исходя их первого уменьшается необходимость жестко контролировать объекты бекенда

+ безопасность на хорошем уровне

- данные об менеджере ограничены и проблемно связываются с остальной базой данных

- при попадании в админ-часть, даже с минимальными правами, нам становятся доступны запросы на сторонние объекты (у которых может быть неконтролируемый функционал)

 

бд авторизация:

+ данные менеджера легко расширяются и связываются с другими данными  

- необходимость жестких мер по закрытию доступа к скриптам бекенда. То есть нужно контролировать авторизацию в каждом файле что способен выполниться в бекенде (различные файл менеджеры и прочее)

+- уровень безопасности зависит от пункта выше

 

способ авторизации зависит в первую очередь о целей для которых эта авторизация делается. Если она несет чисто доступный функционал - вполне достаточно http.

 

 

Автору темы: 

при создании изменении менеджера - создавайте изменяйте обычного пользователя. Связь пользователь=менеджер сделайте через запись ида пользователя в .passwd

Подводные камни будут, но в любом случае их будет меньше чем переделывать всю авторизацию менеджера

 

Спасибо за рекомендацию (попробую), сейчас делаю локально и проверяю пока с ролями (1.2.3)

В административной панели проверяю на доступ по цифре в строке базы role

Прямого доступа к site.com/simpla нет, чтобы убрать её из robots.txt и при определении возможности доступа к административной части на главной странице сайта появляется ссылка "АдминПанель" 



#23 shooroop

shooroop
  • Фрилансер
  • 1 122 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Antarktida

Опубликовано 23.06.2020 - 18:53

Большинство CMS, насколько я знаю, уже много лет хранят админа именно в таблице БД. И особых проблем с безопасностью не наблюдается.


Когда у заказчика битрикс я у него даже не прошу доступы админа я авторизуюсь по батнику прописывая туда только адрес сайта. о какой надежности пароля хранения в бд можно говорить..



#24 phukortsin

phukortsin
  • Фрилансер
  • 1 108 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 23.06.2020 - 19:46


Когда у заказчика битрикс я у него даже не прошу доступы админа я авторизуюсь по батнику прописывая туда только адрес сайта. о какой надежности пароля хранения в бд можно говорить..

 

Что хотите сказать этой странной фразой?

 

Я тоже не прошу у владельцев сайтов на Simpla доступ админа. А еще я не прошу паспорт владельца. И не спрашиваю девичью фамилию бабушки. И еще не требую сотни разных сведений. Но благополучно могу делать в админке все что нужно...

 

Очень сомневаюсь, что Ваш волшебный батник дает Вам доступ к любому сайту на bitrix по одному лишь URL...



#25 shooroop

shooroop
  • Фрилансер
  • 1 122 сообщений
  • Дизайн, Программирование, Верстка
  • Версия CMS:2.x
  • Откуда:Antarktida

Опубликовано 24.06.2020 - 03:13

Что хотите сказать этой странной фразой?

 

Я тоже не прошу у владельцев сайтов на Simpla доступ админа. А еще я не прошу паспорт владельца. И не спрашиваю девичью фамилию бабушки. И еще не требую сотни разных сведений. Но благополучно могу делать в админке все что нужно...

 

Очень сомневаюсь, что Ваш волшебный батник дает Вам доступ к любому сайту на bitrix по одному лишь URL...


на симпле проще имея доступ к фтп в simpla добавить пользователя в  .passwd или переместить в другую папку вместе с .htaccess.  В битриксе не прокатит так тк пароли и пользователи хранятся в бд



#26 phukortsin

phukortsin
  • Фрилансер
  • 1 108 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 24.06.2020 - 09:04


на симпле проще имея доступ к фтп в simpla добавить пользователя в  .passwd или переместить в другую папку вместе с .htaccess.  В битриксе не прокатит так тк пароли и пользователи хранятся в бд


Опять не понял, что хотите этим сказать?

Если "В битриксе не прокатит", то по этим словам выходит, там надежность выше.

А ранее Вы в посте #22 сказали, что для Вас любой сайт на Bitrix доступен по URL, то есть надежность там вообще никакая.

Запутываете сильно вроде бы несложный вопрос...



#27 Kami

Kami
  • Пользователь
  • 440 сообщений
  • Откуда:Россия

Опубликовано 24.06.2020 - 10:03


на симпле проще имея доступ к фтп в simpla добавить пользователя в  .passwd или переместить в другую папку вместе с .htaccess.  В битриксе не прокатит так тк пароли и пользователи хранятся в бд

 

ну а что мешает кинуть adminer по фтп и зайти в базу взять пароли?



#28 phukortsin

phukortsin
  • Фрилансер
  • 1 108 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 24.06.2020 - 10:33

ну а что мешает кинуть adminer по фтп и зайти в базу взять пароли?


Обычно этому мешает то, что пароли хранятся в зашифрованном виде, смотрите сслылку из #11.

Но обычно можно несложно создать НОВОГО пользователя со своим логином-паролем.



#29 Kami

Kami
  • Пользователь
  • 440 сообщений
  • Откуда:Россия

Опубликовано 24.06.2020 - 10:53


Обычно этому мешает то, что пароли хранятся в зашифрованном виде, смотрите сслылку из #11.

Но обычно можно несложно создать НОВОГО пользователя со своим логином-паролем.

 

ну по факту они в симпле зашифрованные лежат в файле, я просто это написал к тому, что это не мешает заменить пароль на свой аналогично passwd



#30 phukortsin

phukortsin
  • Фрилансер
  • 1 108 сообщений
  • Программирование, Пользователь
  • Версия CMS:2.x
  • Откуда:Львов

Опубликовано 24.06.2020 - 12:58

ну по факту они в симпле зашифрованные лежат в файле, я просто это написал к тому, что это не мешает заменить пароль на свой аналогично passwd


Конечно, не мешает. Но как это к обсуждаемому вопросу, по-моему, слабо относится.

 

Вопрос был изначально про сравнение способов доступа админа - через серверную авторизацию или через PHP с хранением данных в БД.

Вот тов. Noxter в #6, #10 сообщил, что серверная авторизация намного надёжней, потому что вероятность подбора логина-пароля сводится к нулю. А на простенькие вопросики об этой вероятности ничего по делу не ответил...

Потом shooroop в #22, #24 высказался, что в bitrix надежность пароля хранения в бд никакая, почему и отчего, тоже толком сказать не может...

Теперь Kamiв #26, #28 вносит свою лепту - туманными намеками сообщает, что редактированием текстового файла можно этот файл изменить. Весьма ценная информация...






0 пользователей читают эту тему

0 пользователей, 0 гостей, 0 скрытых