Skocz do zawartości
"Idzie nowe..." - o zmianach i nie tylko ×
Przeniesienie zakupów z IPS Marketplace / Moving bought items from IPS Marketplace ×

Zmiana zapisu logów administracyjnych

DawPi

Przez DawPi
w Tutoriale i porady

 Udostępnij

Rekomendowane odpowiedzi

  • Manager
DawPi Arcymistrz

DawPi

Opublikowano
  • Manager
Opublikowano

Zaprezentuję dość przydatną zmianę zapisu logów administracyjnych. Wiadomym jest, że każdy z nas ma 'jakieś' hasła na różne strony internetowe. Jedni mają jedno hasło na kilka stron, inni na każdą oddzielne ( jak ja ). jednak wiadomo też, że pierwsze zjawisko jest o wiele częściej spotykane.

Może nie wszyscy wiedzą, ale w IP.Board zaimplementowano mechanizm zapisywania danych używanych do logowania do ACP. System zapamiętuje ilość znaków w haśle ( o zgrozo! ) i pokazuje jawnie ostatni znak ( ! ) hasła.

Dla przykładu, screen z mojego logowania:

login_1_wm.png

Jakie skutki tego mogą być? Przeróżne. Załóżmy, że na forum jest kilku adminów, podejrzenie takich danych i znajomość admina może skutkować odgadnięciem hasła, a jeśli admin używa tego samego hasła na różnych stronach to skutki mogą być nie przewidywalne. To tylko jedno z wielu 'zastosowań' znajomości takich danych.

Pokażę niżej jak w prosty sposób zmienić ten sposób na taki by zapisywało tylko trzy gwiazdki i zero jawnych znaków hasła, czyli w ten sposób:

login_2_wm.png

Zatem do dzieła.

Otwórz plik: sources/action_admin/login.php

Znajdź:

			if ( $k == 'password' )
		{
			$v = str_repeat( '*', strlen( $v ) - 1 ) . substr( $v, -1, 1 );
		}

Zamień na:

			if ( $k == 'password' AND $flag == 'fail' )
		{
			$v = str_repeat( '*', strlen( $v ) - 1 ) . substr( $v, -1, 1 );
		}
		else 	$v = "***";

Zapisz i wyślij.

Dzięki temu logowania zakończone sukcesem będą skutkować zapisaniem trzech '*' w logach ( tak jak na drugim screenie ), a nieprawidłowe logowania czyli zakończone niepowodzeniem będą skutkować wpisaniem hasła wg standardowego schematu - ilość znaków i jawny ostatni znak. Dzięki temu możesz sprawdzić czy na konta adminów logował się ktoś obcy - próbując odgadnąć hasło czy po prostu ktoś się pomylił.

Myślę, że to bardzo korzystna zmiana i daje kolejne narzędzie Administratorowi do pełnego monitoringu bezpieczeństwa forum.

Na zakończenie dopowiem i doradzę - by te zmiany odniosły skutek warto wyczyścić tabelę w której zapisywane są owe logi. Czyli wykonaj poniższe zapytanie na Twojej bazie danych ( poprzez PhpMyAdmin ):

truncate ibf_admin_login_logs;

Pamiętaj by zastąpić ibf_ prefixem Twojej bazy danych.

Nie znasz prefixu bazy danych?

Otwórz plik: conf_global.php

Znajdź:

$INFO['sql_tbl_prefix']			=	'PREFIX';

w miejscu PREFIX jest to ,czego szukasz :)

Autorem tutoriala jest DawPi. Zabrania się kopiowania, powielania. W szczególności na inne fora bez zgody autora.

Tutorial wykonany dla www.IPSlink.pl

intermedia - profesjonalne rozwiązania Invision Power Board

---

Chcesz uzyskać szybko i sprawnie pomoc? Uzupełnij wersję i adres w profilu.

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę.