Авторизация на сайте

 

Joostina v 1.3.0, безопасность в параноидальном режиме

Дата начала публикации: 04.07.2009

В новой версии Joostina CMS очень много внимания уделено вопросам безопасности. Рассмотрим чего же такого появилось.

Первое - доступ к авторизации в панели управления по секретному слову. Работает до безобразия просто и надёжно. В глобальной конфигурации можно указать слово (любое слово) любой длины, желательно без пробелов и спецсимволов, можно, например, числовой код или md5 хеш от имени тёщи. Всё. Теперь что бы даже попробывать авторизоваться - надо попотеть. 

Доступ в админку получат только те, кто введёт в браузере такую замысловатую конструкцию: http://www.moy_syte.ru/administrator/кодовое_слово, а кто не проделает такое (или укажет неправильное слово) перебросится автоматом на сайт, ну или на какую-то конкретную страницу, адрес которой, кстати, можно тоже указать в глобальной конфигурации. 

Второе. Автоматическая капча.
На страницу авторизации в панель управления попали, всё хорошо. Но и тут сюрприз. Авторизуешься раз, не угадал пароль, авторизуешься два, случайно нажал Caps Lock, авторизуешься три.., четыре.., пять... Опа, капча. Всё, теперь для каждой попытки авторизации надо будет подтверждать что ты не олень-брутфорсер. Число неудачных авторизаций, после которых появится проверка на адекватность, указывается в глобальной конфигурации. 

Но и это еще не всё.

Третье. С пяти раз пароль не совпал, капча - не проблема, нехороший человек пробует ещё и ещё раз авторизоваться, усиленно подбирает пароли. Делает это шестой, седьмой.., десятый.., опа. Всё, попытки прекратились, аккаунт заблокирован. Десять (10)  - это столько раз по умолчанию можно пробовать авторизоваться, потом всё, аккаунт блокируется, и авторизоваться под ним невозможно. Считаете что 10 это много - можете указать своё любимое число в глобальной конфигурации.

Вот такая вот «параноя».

Хотя и это не всё... Есть еще дополнительный бонус-пак. Это ожидающее своей очереди расширение, которое умеет не только проверять целостность файлов сайта, блокировать ботов и защищать от флуда, но и много чего интересного. Расширение не войдёт в версию 1.3.0, но мы очень стараемся, чтобы оно стало доступно как можно скорее. 

Тэги: Тэги не указаны

Добавить комментарий


Защитный код
код с картинки (Обновить)