(16.04.2016, 02:58)Farin schrieb: [ -> ]Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.
Das klingt interessant. Wie muss man das angehen?
Und noch eine Frage in dem Zusammenhang: Wie bewertet Ihr eigentlich die Sicherheit von phpmyadmin?
Das fügst du einfach in ganz oben in die
.htaccess die im admin-Ordner (der sicher umbenannt wurde) folgendes hinzu.
PHP-Code:
# HTTPS-Verschluesselung erzwingen
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
# fuer alle Dateien
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}
Was auch noch nützlich wäre ist, dass du für deine tägliche Arbeit im Forum nicht mit administrativen Rechten arbeitest. Sprich:
- für die Arbeit im Admin-CP benutzt du einen versteckten Account, der auch nicht in der Mitgliederliste aufgeführt wird und die Rechte des Super-Admins hat.
- für die tägliche Arbeit, Präsenz im Forum und der Freiheit jederzeit eingreifen zu können, gibst du dir die Rechte eines Super-Moderators mit dem Aussehen eines Admins.
Du kannst auch ganz einfach deinem Admin Account die Anzeigegruppe eines normalen User Accounts geben, das hat dem gleichen Effekt.
Ja, aber wer die ganze Zeit schon mit seinem Admin-Account postet möchte wahrscheinlich auch als Admin-markiert im Forum Präsenz zeigen
Außerdem wird damit sicherheitstechnisch nichts unternommen, sondern nur kaschiert.
(16.04.2016, 02:58)Farin schrieb: [ -> ]Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.
In wie fern soll das funktionieren? Für SSL/TLS braucht man zwingend ein Zertifikat. Man kann sich eins selbst signieren wenn man will. Man bekommt zwar eine Browser-Warnung, aber wenn man nur selbst auf das AdminCP zugreift, dann stört das nicht. Man könnte sich auch einfach eins von StartSSL oder Let's Encrypt holen.