ďalšie »

[Jaro]

Ahojte,

Vedel by mi niekto z Vás poradiť či sa dá zmeniť administrátorská cesta z www.xxx.sk/administrator napriklad na www.xxx.sk/adminko ak áno tak ako a kde?-)

Za radu vopred Ďakujem

[Michal Hraška]

POdla mna ak zmenis adresar administrator na adminko ti to pojde ale nezarucujem ze ti to nebude nejak blbnut nemam to vyskusane
Po teoretickej stranke by to mohlo ist vyskusaj a uvidis

[Tibor Tóth]

V žiadnom prípade nedoporučujem to meniť. Joomla! má pevne kódované cesty často, celý admin Ti môže padnúť!
Čo Ti vadí na ceste www .xxx .sk/administrator ?  Však to je len pre administratora, nie je to taká zúfalá adresa a existujú aj záložky v prehliadačoch. 

[jano]

...
Vedel by mi niekto z Vás poradiť či sa dá zmeniť administrátorská cesta z www.xxx.sk/administrator napriklad na www.xxx.sk/adminko ak áno tak ako a kde?-)
...

Ahoj ... pozeral som pre zaujímavosť, ale je to natvrdo kódované na xxx miestach, takže cesta úpravy Joomla je neschodná keď uvážim, že aj jednotlivé extension sa budú viazať na presné meno adresára. Ak by som to už "musel riešiť", tak by som sa snažil cez Apache vytvoriť alias k administrator a namapoval by som ho na adminko ... prakticky to nemam overene, ale cital som o tom.

[Jaro]

POdla mna ak zmenis adresar administrator na adminko ti to pojde ale nezarucujem ze ti to nebude nejak blbnut nemam to vyskusane
Po teoretickej stranke by to mohlo ist vyskusaj a uvidis

Ahoj, zatiaľ nad tým uvažujem.

[Michal Hraška]

Tak nad tym neuvazuj uz
Skusal som to na localhoste a problme vznikne pri instalaci komponentov, modulov.
Na pohlad to vyzera jednoduho ale takto jednoducho prides o funkcnost stranky

Dobra rada neskusaj to nema to zmysel.
Aj Tibor ti to povedal

V žiadnom prípade nedoporučujem to meniť. Joomla! má pevne kódované cesty často, celý admin Ti môže padnúť!

Pokial chces vsetko menit nebudem ti branit ale budes si robit zbitocnu robotu.

[Jaro]

Ahoj Tibor,

Zatiaľ nad tým uvažujem po bezpečnostnej stránke.
Dnes som obdržal nižšie prekopírovaný e-mail a rád by som sa vyhol problémom a cudziemu vniknutiu....

Zo svojich bezpečnostných skúseností si Vás dovolím upozorniť na zabepečenie Vašej stránky www.xxx.sk. Predpokladám že používate redakčný systém Joomla (čo vidno aj pri otvorení manažment stránky Smiley ). V tomto prípade nepoužívajte štandartnú cestu na manažment a to www.xxx.sk/administrator, pretože umožnujete rýchle vniknutie do systému. V prípade že používate aj štandartné prihlasovacie meno "admin", útočníka čaká len jednoúrovňová ochrana (heslo), a to uhádnuť pri dostupných technológiach nie je nič obtiažne.

[Jaro]

Tak nad tym neuvazuj uz
Skusal som to na localhoste a problme vznikne pri instalaci komponentov, modulov.
Na pohlad to vyzera jednoduho ale takto jednoducho prides o funkcnost stranky

Dobra rada neskusaj to nema to zmysel.
Aj Tibor ti to povedal

V žiadnom prípade nedoporučujem to meniť. Joomla! má pevne kódované cesty často, celý admin Ti môže padnúť!

Pokial chces vsetko menit nebudem ti branit ale budes si robit zbitocnu robotu.

Budem nad tým uvažovať-)

[jano]

... V tomto prípade nepoužívajte štandartnú cestu na manažment a to www.xxx.sk/administrator, pretože umožnujete rýchle vniknutie do systému. ...

Takže je potrebné hľadať "neštandardný spôsob administrácie" a také niečo by mohlo existovať, resp. by to nemusel byť až taký problém urobiť ... napr. by sa nepovolil vstup do admin časti cez administrator/index.php, ale cez administrator/blabla.php, ktorý by robil to isté, ako administrator/index.php ... administrator/index.php by zostal nezmeneny, az na cast, kde sa prihlasuje, tam by bolo natvrdo znemoznene sa prihlasit.

Dodatocne:
Urobil som rychloskusku ... premenoval som administrator/index.php na administrator/blabla.php a ide mi prihlasit cez to blabla.php ... potom to uz byva presmerovane cez index2.php ...

[Jaro]

... V tomto prípade nepoužívajte štandartnú cestu na manažment a to www.xxx.sk/administrator, pretože umožnujete rýchle vniknutie do systému. ...

Takže je potrebné hľadať "neštandardný spôsob administrácie" a také niečo by mohlo existovať, resp. by to nemusel byť až taký problém urobiť ... napr. by sa nepovolil vstup do admin časti cez administrator/index.php, ale cez administrator/blabla.php, ktorý by robil to isté, ako administrator/index.php ... administrator/index.php by zostal nezmeneny, az na cast, kde sa prihlasuje, tam by bolo natvrdo znemoznene sa prihlasit.

Dodatocne:
Urobil som rychloskusku ... premenoval som administrator/index.php na administrator/blabla.php a ide mi prihlasit cez to blabla.php ... potom to uz byva presmerovane cez index2.php ...

Ahoj Janči,

Myslím že si trafil do čierneho. Toto som mal na mysli. Skusim to vyskúšať na local a dám vedieť.
Ďakujem za super radu

[jano]

administrator/index.php by som ponechal nezmeneny, lebo nikdy nevies, odkial sa z Joomla nan presmeruje. Akurat by som na konci index.php zapoznamkoval

require_once( $path );

lebo to je cast, ktora v podstate umozni prihlasenie.

[Jaro]

administrator/index.php by som ponechal nezmeneny, lebo nikdy nevies, odkial sa z Joomla nan presmeruje. Akurat by som na konci index.php zapoznamkoval

require_once( $path );

lebo to je cast, ktora v podstate umozni prihlasenie.

Ako to myslíš zapoznámkovať?
Našiel som to, ale ako to zapoznámkujem?

[jano]

Dve lomítka daj na zaciatok riadku. Takto:

// require_once( $path );

A po tejto uprave sa uzivatelovi po spusteni administrator/index.php nic nezobrazi (mohol by si tam dat nejaku hlasku, ak by si chcel) ... a Ty sa mozes prihlasovat cez to skopirovane index.php na blabla.php ... odskusal som, mne to tak ide ...

[admin]

Myslim si,ze z hladiska bezpecnosti je toto nepodstatne.Utoky na stranku su vedene uplne inym sposobom.

V prípade že používate aj štandartné prihlasovacie meno "admin", útočníka čaká len jednoúrovňová ochrana (heslo), a to uhádnuť pri dostupných technológiach nie je nič obtiažne.

Ak ma zosit zo strednej neklame,tak pri hesle o 9 znakoch, ak ratame iba velke a male pismena,
je to 2779905883635712 kombinacii,co je aj pri dostupnych technologiach dost velke cislo 
Pokial nepouzijete nejake stupidne heslo,tak sanca,ze utocnik sa na vasu stranku dostane je asi taka,ako ze vyhrate v sportke (alebo ze uhadne vasu stranku blabla.php).
Pokial si este zmenite prihlasovacie meno z admin na nieco ine,toto cislo sa este trochu zvysi.

Pre paranoidnych by som odporucal skor zaheslovanie adresara cez .htaccess (uz sa to tu preberalo) alebo pouzitie security images pre prihlasenie do administratora.

[Tibor Tóth]

...
Dnes som obdržal nižšie prekopírovaný e-mail a rád by som sa vyhol problémom a cudziemu vniknutiu....

Zo svojich bezpečnostných skúseností si Vás dovolím upozorniť na zabepečenie Vašej stránky www.xxx.sk. Predpokladám že používate redakčný systém Joomla (čo vidno aj pri otvorení manažment stránky ). V tomto prípade nepoužívajte štandartnú cestu na manažment a to www.xxx.sk/administrator, pretože umožnujete rýchle vniknutie do systému. V prípade že používate aj štandartné prihlasovacie meno "admin", útočníka čaká len jednoúrovňová ochrana (heslo), a to uhádnuť pri dostupných technológiach nie je nič obtiažne.
...

Pri všetkej úcte k autorovi tohto emailu a jeho "bezpečnostných skúseností", len veľmi málo útokov na Joomla! a iné redakčné systémy sa vykonali/vykonávajú cez pokus o prihlásenie.
Mal by to byť útok tzv. "brute force", alebo inak hrubá sila, resp. pokus/omyl.
Sú oveľa jednoduchšie spôsoby, ako vnknúť do systému:
- moc jednoduché heslo (admin, password, etc...
- chybne nastavený server/hosting
- zle nastavená Joomla! - práva na adresár 777 !
- chýbajúci index.html v kombinácii zle nastaveného hostingu
- zle napísané rozšírenie
- SQL Injection a XSS Cross-Site Scripting

Viac na : http://help.joomla.org/component/option,com_easyfaq/task,view/id,167/Itemid,268/