Было бы неплохо посвятить темку безопасноти. И для начала первый вопрос:
1. Создание основного администратора и дополнительного администратора (права одни, пароли разные) и активное использование только дополнительного увеличит безопасность? (перехват куков и т.д.)
Mister_i
Смысла не вижу.
Ибо
1. Если права будут одни и теже, то нападать будут на того, кто чаще светится.
2. Даже если перехватят куки (хотя дырок после 3.0.5 вроде не осталось), то в админку зайти не смогут - пароля нет, пароль сменить не смогут - ибо тоже нужен пароль. Максимум могут удалить все темы и отослать всем ПС. Всё... больше ничего. Делай лучше бекапы почаще и не парься. Будет дырка - мы тут скажем как сделать заплатку.
Ничем он не отличается. У нас с Alan`ом абсолютно одинаковые права. И при желании можно ему ваще выставить права гостя. Так у меня будет даже больше прав, чем у него. Так что херь всё это
Ну к конфигу у меня тоже доступ есть ;) Вообще имхо не надо так изгаляться. Буллетин итак самый защищённый форум. Просто делайте почаще бекапы, если волнуетесь
Mister_i
после взлома одного из форумов на двиге IPB, у меня походу паранойя началась =))
я еще и .htaccess пихнул в корень admincp и modcp и каждому модеру отдал в асе пароль, сгенерированный в md5
теперь, что бы попасть в админку или модерку, нужно вводить пароль дважды
и даже если кто то утащил твои куки то туда он все равно не попадет =))
=====
мля... паранойя - хреновая штука, но когда уничтожают форум с пятью тыс. узеров под чистую...
короче мне это добавило гемора на 3 дня переконвертировать базу с ИПБ в воблу и потом избавиться от глюков конвертации...
но как замечено выше, вобла такими дырами не страдает, и почаще делай бэкап... =))
Тогда всстречный вопросец. В какие директории, ничиная с корневой, кидать .htacсess с запретом на прямой доступ, на любой доступ и т.д.
Файл действует только на директорию в какой лежит или на её поддиректроии тоже?
Линейный вид
