Железная защита форума при помощи .htaccess & .htpasswd

[WingLion]

Пост по просьбе Секох-а

Неточность

Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде
исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом
вами форуме за счет использования паролирования директории /admin/ и файла modcp.php ...

Это правильно, но этого все еще недостаточно.
Файл posting.php содержит средства, пользуясь которыми, неленивый взломщик может удалять чужие мессаги по
одной. Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.
спасиб

[Xpert]

Мда, и вправду...

[DarkSwift]

У меня такая проблема. Я с помощью утилиты (ссылка на которую дона выше) создал .htpasswd. Далее сделал все по инструкции. Доступ к защищаемым файлам действительно прикрылся. Правда пароль, который я вводил в утиле не подходит к имени... Сообщение с предложением ввести имя и пароль выходит заново... Как исправить?

[Siava]

DarkSwift
Путь к файлу парля должен быть полным (от корня сервера)

[NCom]

так как у меня ip постоянный, я привязал админку по ip и все...ну конечно запаролил..ю.но не знаю зачем

[kir85]

Мне тут подсказали,
чтоб узнать адрес можно исполнить скриптик:

Код: Выделить всё

<?php
echo getcwd();
?>

И сервер покажет полный путь.
(может кому надо...)

Огромный РЕСПЕКТ!!! getcwd(); то, что надо!!!

[DarkSwift]

С путем к файлу с поролемя разобрался, он прописывался в конфигурационной панели сервера.
Теперь новый прикол.
Когда идешь к защищенному ресурсу, вроде modcp.php

modcp.php?t=56&mode=move&sid=2f42cfe149bb1c1d580c979d186eeb13

Он выводит сообщение:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, darkswift@mail.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.33 Server Port 80

Добавлено спустя 9 часов 9 минут 29 секунд:

.htaccess у меня имеет такой код.

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
require valid-user
</Files>

[Upiter]

При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.

А поподробнее можно?

[Neonaft]

Скачать программу для создания паролей здесь

А ссылка уже нерабочая. Можно обновить?

[DimTic]

вобщем были все теже проблемы что и у других с неверным паролем.
Вылечил скачкой генератора http://www.softtime.ru/files/htpasswd.zip
строка запуска htpasswd.exe -cm .htpasswd Имя_Юзера
получившийся .htpasswd переписал на место и все заработало

[PifaGor]

Подскажите а какие права лучше установить на папку где лежит пароль и на .htaccess?
Кстати насчет posting.php изменил и сохранил изначальный файл под новым именем, надо ли где то путь к новому файлу прописывать?
PS ну вроде на папку с паролем надо ставить 755 так как иначе не работает а вот с posting.php непонятно, не разьясните ли поподробнее.

[NCom]

[Siava]

NCom


PifaGor
Права 444 и владелец каталога тот, от чьего имени запускается Apache.
Можно попробовть и 404 для маниакальных случаев

[crash]

Можно попробовть и 404 для маниакальных случаев

тогда уже 400

[Siava]

crash
Тогда в каталог апача не сможет войти и прочитать парольный файл