+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Sonstiges (https://www.mybb.de/forum/forum-1.html)
+--- Forum: Programmierung (https://www.mybb.de/forum/forum-32.html)
+--- Thema: ACP mit .htaccess schützen? (/thread-12930.html)
ACP mit .htaccess schützen? - aTCWiki - 11.04.2009
Hallo,
bin nicht so begeistert von dem Zutritt zum ACP, man kann es so oft probieren wie man will. Es wird nichteinmal die IP vorübergehend gesperrt.
Ist es irgendwie möglich den ACP mit .htaccess zu schützen? Und wenn ja wie müsste ich an welcher die beiden Dateien einfügen?
Gruß,
aTCWiki
RE: ACP mit .htaccess schützen? - BeeJayZZR - 11.04.2009
https://www.mybb.de/doku/haeufig-gestellte-fragen/wie-kann-ich-mein-mybb-absichern.html
RE: ACP mit .htaccess schützen? - querschlaeger - 11.04.2009
Hallo,
öhm, steht doch in der Doku, wie man MyBB sicher(er) macht: https://www.mybb.de/doku/haeufig-gestellte-fragen/wie-kann-ich-mein-mybb-absichern.html
Müsstest du doch schon gelesen haben, oder?
Und zum Thema .htaccess-Schutz, steht eigentlich alles hier: http://de.selfhtml.org/servercgi/server/htaccess.htm#verzeichnisschutz
gruß querschlaeger
RE: ACP mit .htaccess schützen? - frostschutz - 11.04.2009
Am wichtigsten ist ein gutes Passwort (möglichst lang und zufällig). Alle anderen Maßnahmen sind zweitrangig (admin-Ordner umbenennen - kann man machen, kostet nix, bringt wenn das Passwort bekannt ist aber auch nix), oder schlimmstenfalls nervig (die von dir vorgeschlagene HTTP Auth - bringt nur was wenn MyBB eine Sicherheitslücke hat mit der man den Login komplett umgehen kann).
Brute force übers Internet kann man vergessen - mit viel Glück schafft man 100 Requests pro Sekunde, ein sicheres Passwort auf dem Weg zu erraten dauert einige Jahre, und der Angriff fällt durch die vielen Requests und die dadurch entstehende Serverlast schnell auf. Um mit sowas Erfolg zu haben muss das Passwort schon extrem banal gewesen sein (z.B. im Wörterbuch stehen).
Wenn man den Brute force lokal machen kann - etwa weil die Software den saublöden Fehler macht, ungesalzene Hashes des Passworts rauszugeben - sieht es schon anders aus, die einzige Begrenzung ist dann Rechenleistung, und Rechenleistung ist spottbillig - selbst mit einem normalen Desktop-PC bist dann schon mit einer Million Kombinationen pro Sekunde dabei, und man kann das beliebig skalieren... wenn das Passwort nicht übermäßig lange war ist es nach ein paar Tagen geknackt, im Gegensatz zu zig Jahren die man versuchen müsste sich online übers ACP einzuloggen.
Mein Forum hat ein sicheres Passwort für die Datenbank (maximal mögliche Länge, zufällig generiert) und die Admins sind ebenso angewiesen, sichere Passwörter zu haben. Den Admin-Ordner habe ich auch umbenannt, das ist aber weniger eine Sicherheitsmaßnahme, sondern mehr um zu verhindern, daß irgendein Spinner es trotzdem mit Bruteforce versucht und dadurch den Server unnötig belastet.
RE: ACP mit .htaccess schützen? - aTCWiki - 11.04.2009
Vielen Dank,
aber wenn ich das Passwort der Datenbank ändere...
...bei der Installation von MyBB musste ich es angeben, wo ändere ich es damit mein Forum nicht plötzlich von der eigenen Datenbank ausgesperrt wird?
RE: ACP mit .htaccess schützen? - frostschutz - 11.04.2009
inc/config.php