• Страница 1 из 1
  • 1
Модератор форума: Yuri_G, ilia_halupko  
Сообщество uCoz » Мастерская uCoz » Управление аккаунтом » Безопасный вход из вебтопа на сайт и смена пароля вебтопа
Безопасный вход из вебтопа на сайт и смена пароля вебтопа
gaudeamus
Сообщений: 257
Репутация: 7
Уровень замечаний:

Сообщение # 1 | 07:43:31
Добрый день.
Не нашёл тему про вебтоп, пишу новую, наверное, - первый раз за всё время работы с Юкоз.

Вебтоп, хоть и объявлен "устаревшим", но ещё действует, есть ссылка и функционал.
Обратил внимание на одну, на мой взгляд, проблему - старый пароль к вебтопу, который ещё со времени открытия сайта в 2011 году.
Много раз по требованиям безопасности меняли пароли сайта - и админские, и к ПУ.
Но из вебтопа есть автоматический, с подстановкой текущего пароля "Безопасный вход" в админский вход на сайт.
Теоретически может кто-то, зная этот старый пароль к вебтопу (такое возможно), попасть в админский вход на сайт.
Вопрос: как сменить этот старый пароль к вебтопу на новый? Это беспокоит.

Добавлено (22 Авг 2017, 07:43:31)
---------------------------------------------
Так мне ответит кто-нибудь конкретно знающий по теме из
админов Юкоза?

Товарищи, ведь это получается конкретная уязвимость и
лазейка. Что, со времени "похорон" вебтопа никто из специалистов
Юкоза не обратил внимание на это? "Человека" нет, а проблема осталась.

Объясняю. При выполнении сайтов на заказ, как правило и в
любом случае, наступает момент, когда нужно передать заказчику все входные
ключи от сайта. Это происходит вскоре после ввода сайта в эксплуатацию или
после модернизации. Не важно, остаёшься ты админом или контент-менеджером этого
сайта (даже за интересные деньги – это-то как раз в д.с. более опасный вариант,
чем просто передать сайт) или нет. Заказчик обязан иметь входные коды/ключи от
сайта. Разумеется, всё это делается как следует, например, исключительно
распечатывается в 1 экз., запечатывается в конверт и заказчик помещает его себе
в сейф. На конверте: "Вскрыть после моего увольнения (акта об окончании
работ). Подрядчик (работник) такой-то." Причём это нужно делать при
свидетелях, лучше всего прямо на какой-нить "планёрке"!

Мы все встречали немалое количество совершенно несерьёзно
относящихся к своим собственным веб-ресурсам заказчиков. Вдруг кто видел, кроме
директора, содержимое этого листка? Да и "доброжелателей" в любой
компании хватает. Иные вон от сайтов с ТИЦ 2000 теряют вход на Ру-Центре на
доменное имя, причём с запретом восстановления пароля, – было и такое в моей
практике.

Поэтому повторяю вопрос: как сменить пароль к вебтопу? В доме, например,
если "чёрный ход" не нужен, его закладывают кирпичной кладкой. Почему
здесь нельзя ликвидировать этот фактически легальный backdoor? Или уберите "Безопасный вход" с
автоподстановкой логина-пароля! Он сейчас опасный! Умер вебтоп – так умер. Как
сменить пароль к вебтопу?

$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 2 | 07:57:02
gaudeamus, не нужно создавать дубли тем. На многие вопросы даны ответы, пользуйтесь поиском по форуму и базой знаний. Теперь вам не надо заходить в Вебтоп, чтобы отредактировать личные данные или настройки доступа. Функционал настроек перенесен в вашу uID-визитку.

Цитата gaudeamus ()
Как
сменить пароль к вебтопу?

Это пароль администратора, изменить его можно перейдя к настройкам безопасности в uID-визитке. Подробней тут
gaudeamus
Сообщений: 257
Репутация: 7
Уровень замечаний:

Сообщение # 3 | 09:13:38
$Vladimir$, я всё это видел и знаю. Там везде ничего нет про эту конкретную проблему. Я написал про конкретную проблему.
Пароли там РАЗНЫЕ. Этот пароль - отличный от пароля администратора.
Фактически сейчас в системе авторизации есть пароль и ссылка, которые невозможно ни изменить, ни убрать. Что делать? Это понятно?
Проблема: Есть ссылка на некую веб-страницу. На ней есть форма авторизации. Логин и пароль могут быть известны. И далее форма - автоматический вход на сайт. И этот маршрут авторизации невозможно спрятать. Потому что он СУЩЕСТВУЕТ физически.
Как убрать именно его? Вы понимаете, о чём речь? Или нет?
И "дубли" я не создаю - разуйте глаза и вчитайтесь, пожалуйста. Про эту проблему ничего нигде нет.
Сообщение отредактировал gaudeamus - Вторник, 22 Авг 2017, 09:20:41
$Vladimir$
Сообщений: 7465
Репутация: 1053

Сообщение # 4 | 15:40:04
gaudeamus, если вы самостоятельно не посодействуете передаче пароля администратора (пароль Администратора Вебтоп) третьим лицам, никто в вебтоп не попадет, кроме владельца.
uID пароль и пароль администратора возможно изменить только uID визитке. Пароль отдельный для доступав панель управления, пароль FTP, пароль FTP PHP возможно изменить только в панели управления конкретного сайта.


Пароль:
должен состоять из 9 или более символов (цифр, заглавных или строчных латинских букв, знаков препинания, кроме пробела);
не должен состоять только из цифр;
не должен основываться на персональных данных (имени пользователя, ФИО, e-mail и т.п);
не должен основываться на часто используемых словах («window», «book», «parol» и т.п.);
не должен содержать простых и предсказуемых последовательностей («qwerty», «1234» и т.п).
gaudeamus
Сообщений: 257
Репутация: 7
Уровень замечаний:

Сообщение # 5 | 16:53:06
$Vladimir$, молодой человек, Вы будете меня учить, каким должен быть пароль?

Вчитайтесь, пожалуйста, во весь текст, написанный ранее. Надеюсь, Вы способны сосредоточиться и вникнуть в смысл.

Для админского входа на сайт фактически сейчас существует ТРИ способа, а не ДВА (как обычно):
1) через ПУ;
2) через админский вход (эти два входа подконтрольны мероприятиям по безопасности);
и 3) через веб-топ (имеется ссылка, логин, пароль - это факт), и в самом веб-топе есть "Безопасный вход", где есть форма с АВТОМАТИЧЕСКИ появляющимися админскими логином и паролем.
И даже если вошедшему ПРОСТО через веб-топ (используя логин и пароль ДЛЯ НЕГО) неизвестны чисто админские логин-пароль, он легко попадает на сайт в качестве администратора! Это понятно? И этот третий вход, получается, сейчас неподконтролен мероприятиям по безопасности сайта. Это тоже понятно?

Смешно смотреть со стороны, как простой пользователь некой системы втолковывает одному из её главных администраторов, как она работает!
Ну, блин, и Юкоз!!
У вас просто вот такая дыра в системе! Вам человек показывает серьёзную уязвимость для всех сайтов, а Вы трындите про то, каким должен быть пароль.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 6 | 17:03:18
gaudeamus, если вам нужно сделать невозможным переход из вебтопа в панель сайта, в панели сайта - безопасность - сменить пароль аккаунта - поставьте отдельный пароль. так вы сделаете совершенно невозможным переход из вебтопа в пу сайта и повысите безопасность. а админа на сайте сделайте локальным (создайте его из панели управления, на сайте выставьте старую форму входа. и все проблемы будут решены

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
gaudeamus
Сообщений: 257
Репутация: 7
Уровень замечаний:

Сообщение # 7 | 18:06:23
Цитата webanet ()
так вы сделаете совершенно невозможным переход из вебтопа в пу сайта
webanet, уважаемые, ВЧИТАЙТЕСЬ, пожалуйста в текст выше. Там написано: из вебтопа в админский вход, а не в ПУ.
И там разные пароли, разные. В своё время сразу же сделали "Отдельный пароль для ПУ этого сайта". Это было сделано тогда же, в 2011 году.
Но в последующем мы несколько раз меняли пароли - и в админском входе, и в ПУ.
Меняли также и в ВТ - пока он работал.
А теперь в ВТ пароль изменить нельзя. Но из него есть по сути дела АВТОМАТИЧЕСКИЙ вход в Админку.
ЕЩЁ РАЗ повторить?
Там есть, есть второй админ! Но в форме "Безопасный вход" всё равно подставляется ПЕРВЫЙ!
И как его удалить, если это аккаунт визитки??
И на сайте нет формы входа. А просто сайт/admin.
Сообщение отредактировал gaudeamus - Вторник, 22 Авг 2017, 18:13:42
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 8 | 18:13:05
Цитата
ЕЩЁ РАЗ повторить?
да ещё раз. у нас с вами разная терминология. вас беспокоит автопереход в права администратора на сайте из вебтопа с функцией безопасный вход? если да, то я уже описала что делать, но нужно было больше деталей дать. в панели управления создайте нового пользователя со сложным паролем и дайте ему админские права. далее будете входить по старой форме логином и паролем, который зададите новому админу. а всех старых админов разжалуйте в пользователи и пусть себе потом все переходят по безопасному входу из вебтопа, они будут попадать на профиль без прав. тут не в смене пароля все действа, а именно в смене групп и прав

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
gaudeamus
Сообщений: 257
Репутация: 7
Уровень замечаний:

Сообщение # 9 | 18:14:58
В общем, вижу, что бесполезно с вами разговаривать. Позднее всё продумаете ещё раз, попробуете на каком-нибудь сайте, и увидите, что я был прав.
Ладно. Обыкновенное упрямство Юкоза. Видено уже не раз.
Сообщение отредактировал gaudeamus - Вторник, 22 Авг 2017, 18:17:05
Сообщество uCoz » Мастерская uCoz » Управление аккаунтом » Безопасный вход из вебтопа на сайт и смена пароля вебтопа
  • Страница 1 из 1
  • 1
Поиск: