[Question] Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 00:17:51 (+0700) | #1 | 33576 |
newspring
Member
|
0 |
|
|
Joined: 04/07/2006 23:17:20
Messages: 23
Offline
|
|
Tôi đang chập chững tìm hiểu vấn đề bảo mật cho forum nói chung. Tuy nhiên tôi không biết bắt đầu từ đâu, phải làm những công việc gì? Phải biết ngôn ngữ lập trình nào v.v...Do vậy tôi rất mong được sự chỉ giáo của mọi người.
Cám ơn các bạn nhiều. |
|
|
|
|
[Question] Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 00:53:03 (+0700) | #2 | 33581 |
DigitalLove
Member
|
0 |
|
|
Joined: 13/12/2006 21:15:53
Messages: 62
Offline
|
|
Mình còn gà lắm nên chẳng dám nói nhiều. Nhưng mình nghĩ nếu bạn sử dụng những phần mềm forum như vBB, IPB, phpBB thì độ bảo mật cao lắm rồi . Mình thấy HvA cũng từ chối test những website sử dụng những mã nguồn trên. |
|
|
|
|
[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 13:59:20 (+0700) | #3 | 33667 |
|
nora
Elite Member
|
0 |
|
|
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
|
|
1-phiên bản của forum
bạn phải liên tục update
2-modules
hạn chế bớt modules, không phải nhiều modules là diễn đàn hay
3-forum permission
set permission cho forum cũng như thành viên một cách hạn chế, nghĩa là hạn chế upload, chèn code
4-admin
không nên dùng tài khoản admin post bài, chỉ nên dùng để điều chỉnh forum
đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa
5-hosting và domain
điều này không thể không nhắc đến nếu bạn dùng server bảo mật không tốt |
|
|
|
|
[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 14:06:44 (+0700) | #4 | 33669 |
DigitalLove
Member
|
0 |
|
|
Joined: 13/12/2006 21:15:53
Messages: 62
Offline
|
|
nora wrote:
đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa
Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ? |
|
|
|
|
[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 14:49:48 (+0700) | #5 | 33677 |
|
nora
Elite Member
|
0 |
|
|
Joined: 20/09/2006 00:08:43
Messages: 360
Location: UK
Offline
|
|
DigitalLove wrote:
nora wrote:
đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa
Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ?
OK
nếu site bạn có cpanel thì vào "pasword protect directory" để protect cái trang admin của bạn
nếu ko có bạn có thể làm thủ công, nói chung cũng chẳng khó
Bước 1
bạn tạo 1 file .htpasswd trong thư mục website của bạn ví dụ /home/username/.htpasswd
trong file này bạn đặt user và pasword, ví dụ
tôi có user: nora password: nora
nora:bmM.IhsrhkvNs
bạn hãy vào link này để tự tạo pasword cho mình
http://www.htaccesstools.com/htpasswd-generator/
sau đó chèn user và pasword mà bạn tạo được vào file htpasswd
Bước 2:
bạn tạo 1 file .htaccess trong file này có nội dung như sau
AuthName “Password Protect Directory”
AuthType Basic
AuthUserFile /home/username/.htpasswd
Require valid-user
và đặt file này tại domain.com/forum/admin/
nó sẽ thành domain.com/forum/admin/.htaccess
vậy là xong
chúc thành công |
|
|
|
|
[Question] Re:Bảo mật cho forum nói chung bắt đầu từ đâu? |
01/01/2007 15:06:18 (+0700) | #6 | 33680 |
|
~simon~
Member
|
0 |
|
|
Joined: 20/12/2006 15:46:42
Messages: 58
Location: nơi bắt đầu
Offline
|
|
DigitalLove wrote:
nora wrote:
đặt 2-3 lần pasword trang admin, ví dụ domain.com/forum/admin/ đặt pasword bằng htaccess và htpasswd trước khi vào admin một lần nữa
Bro ví dụ thêm 1 chút nữa được không Mình phải config cái file .htaccess và htpasswd ra sao ?
Cái này bro hỏi Admin yeuhaiphong.com anh ấy có kinh nghiệm á nhưng cũng bị thịt như thường à .Nói chung srv mình host cũng quan trọng lắm. |
|
|
|
|
[Question] Bảo mật cho forum nói chung bắt đầu từ đâu? |
02/01/2007 01:51:59 (+0700) | #7 | 33753 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
newspring wrote:
Tôi đang chập chững tìm hiểu vấn đề bảo mật cho forum nói chung. Tuy nhiên tôi không biết bắt đầu từ đâu, phải làm những công việc gì? Phải biết ngôn ngữ lập trình nào v.v...Do vậy tôi rất mong được sự chỉ giáo của mọi người.
Cám ơn các bạn nhiều.
Câu hỏi của bồ khá tổng quát nên khó có thể trả lời cho xác thực.
Điểm căn bản nhất cần nắm về một forum đó là một môi trường cho phép thành viên gởi thông tin và chia sẻ thông tin (thông tin có thể là text, hình ảnh, software...). Forum cung cấp càng nhiều phương tiện chia sẻ, càng có nhiều cơ hội bị thiếu sót. Nói một cách khác, một software càng có nhiều tính năng, càng phức tạp thì càng giảm độ bảo mật.
- nếu bồ rành lập trình, bồ nên chọn một forum viết bằng ngôn ngữ lập trình nào bồ thành thạo nhất (tất nhiên forum ấy phải cho phép bồ điều chỉnh nếu muốn).
- nếu bồ không rành lập trình, bồ nên chọn một forum nào được mọi người công nhận là ổn định và bảo mật nhất mà dùng. Tuy nhiên, việc theo dõi và cập nhật bản vá nhanh chóng và kịp thời là việc quan trọng nhất để duy trì tính bảo mật của nó.
Tính bảo mật của một forum không phụ thuộc vào ngôn ngữ lập trình mà phụ thuộc vào độ quan tâm đến tính bảo mật của người thiết kế và tạo nên forum ấy. Điểm quan trọng không kém để kiện toàn bảo mật cho forum là môi trường host forum ấy. Cho dù forum có bảo mật thế nào đi chăng nữa mà môi trường (router, server, services...) kém bảo mật thì vẫn có thể dẫn đến việc forum bị nhân nhượng.
Nếu bồ có vai trò thiết kế hoặc tu chỉnh một forum, những điều quan trọng cần lưu tâm cho bảo mật của forum là:
- chỉ cung cấp những tính năng thật sự cần thiết cho forum và mỗi tính năng này phải được thử nghiệm, kiểm tra kỹ lưỡng.
- bất cứ nơi đâu cho phép nhập dữ liệu (INPUT) đều phải được kiểm soát chặt chẽ để loại bỏ những thông tin mang tính dung hại. Phân biệt và tách rời giữa dữ liệu và phương tiện cung cấp dữ liệu (ví dụ như: <script></script> là phương tiện cung cấp dữ liệu và chúng phải được kiểm soát, sử dụng đúng chỗ).
- tuyệt đối loại bỏ khả năng tương tác trực tiếp đến cơ sở dữ liệu (từ asp, jsp, php....). Mọi thông tin cần gởi và nhận đến CSDL phải được một bộ phận trung gian điều tác và kiểm soát chặt chẽ.
Trên Internet có vô số các tài liệu về:
- phương pháp thiết kế ứng dụng.
- phương pháp validate dữ liệu nhập.
- phương pháp kiện toàn bảo mật môi trường hosting.
Nên tìm, đọc và thử nghiệm các tài liệu có chủ đề trên.
Vào diễn đàn và đưa ra những chủ đề cụ thể cho việc ứng dụng để nhận được góp ý từ các thành viên là một cách học và làm rất hữu hiệu.
Chúc bồ thành công. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Bảo mật cho forum nói chung bắt đầu từ đâu? |
04/01/2007 07:47:17 (+0700) | #8 | 34178 |
watchd0g
Member
|
0 |
|
|
Joined: 30/11/2006 18:05:23
Messages: 42
Offline
|
|
Mọi thông tin cần gởi và nhận đến CSDL phải được một bộ phận trung gian điều tác và kiểm soát chặt chẽ.
Giả sử forum được code trên nền PHP và Web Admin chọn MySQL làm CSDL. Khi user làm động tác post bài (làm 1 cú query đến MySQL) thì chỉ có mỗi PHP tham gia thôi, nếu theo ý cuả anh conmale thì phải có cái gì đó chen vô giưã PHP & MySQL, vậy anh nói rõ và cụ thể hơn chút được không? |
|
|
|
|
[Question] Bảo mật cho forum nói chung bắt đầu từ đâu? |
04/01/2007 12:30:45 (+0700) | #9 | 34214 |
lyhuuloi
Elite Member
|
0 |
|
|
Joined: 04/04/2003 11:29:17
Messages: 90
Location: TP HCM
Offline
|
|
Em cũng ko rõ ý của anh conmale lắm. Nhưng dĩ nhiên mọi dữ liệu đưa vào CSDL đều phải được lọc cẩn thận. :wink: |
|
http://lyhuuloi.com |
|
[Question] Bảo mật cho forum nói chung bắt đầu từ đâu? |
04/01/2007 15:37:25 (+0700) | #10 | 34254 |
|
canh_nguyen
Elite Member
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
Cái bộ lọc đó có thể là code php luôn hoặc là phần mềm nào khác. Anh conmale có thể nói rõ về phần mềm khác được không? |
|
|
|