Přeskočit přímo na text

Domů » Témata fóra » Po instalaci » Jak na to?

Jak zabezečit Drupal

Vložil/a Anonymous, 31 Červenec, 2010 - 08:42
Kategorie: Jak na to?
Týká se verze: Drupal 6.x

Ahojte,

chci udělat bezpečnou stránku s Drupalem. Budu rád za tipy, co by bylo dobré zvážit a nasadit.

  • Vím o tom, že lze celkem efektivně směrovat choulostivé stránky na HTTPS. To by byla jedna věc.

Ale co dále?

  • Šifrovat nějak více hesla?
  • Šifrovat obsah některých polí ukládaných do databáze? Jde to vůbec?
  • Odesílat systémové maily Drupalu podepsaným e-mailem? Je to vůbec realizovatelné?

Jak jinak ještě zabezpečit Drupal?

‹ warning - views Jak obejít hack contrib modulu (CCK) ›
 

Na přesměrování některých

Napsal uživatel MaT dne 1 Srpen, 2010 - 01:40.

Na přesměrování některých stránek na HTTPS byl myslím nějaký modul, ale momentálně se mi ho nedaří najít.

Šifrovat více hesla – nevím, jak v Drupal 7, ale ve starších verzích se nepoužívá tzv. „salt“ a to ani pro celý web, ani pro jednotlivé uživatele. Tzn. dvě stejná hesla u různých uživatelů mají stejný hash, což se někdy považuje za bezpečnostní riziko – a dále stejné heslo na různých webech má také stejný hash. U vlastních projektů třeba hashuji až řeětezec, ve kterém je kromě hesla přidáno ještě uživatelské heslo a ještě něco navíc.

S tím šifrováním polí to bude asi horší – musel by se na to nejspíš napsat vlastní modul. Sám něco takového v jedné své aplikaci také používám, je to docela legrace pak nad něčím dělat dotazy. A problém je – kde bude klíč, kterým to bude šifrováno? Na serveru? Pokud se vám někdo hackne na server, dostane se i k databázi. Má-li aplikace s daty pracovat, musí je umět rozšifrovat – tzn. musí mít někde klíč. A pokud ho bude mít někam, kam se útočník stejně dostane…

Odesílání mailů s podpisem by asi takový problém nebylo – ale opět, aplikace pak musí mít k dispozici klíč – a dostane-li se k němu aplikace, dostane se k němu i případný útočník, který se dostane na server.

odpovědět

Secure Page

Napsal uživatel Surda dne 1 Srpen, 2010 - 07:38.

http://drupal.org/…/securepages

odpovědět

zabezpečení drupalu

Napsal uživatel Anonymous (bez ověření) dne 1 Srpen, 2010 - 08:34.

JJ, SecurPages se zdají vhodné k nasazení – byť tedy zatím neumím odhadnout, jak moc výkonu to sežere.

Podepsané e-maily by byly myslím super, protože bych mohl uživatelům sdělit, že pouze podepsaný email z mého webu je závazný. Tím pádem spam, který falšuje e-mailové adresy jako by se nechumelilo, bych mohl hodit za hlavu…

odpovědět

Pokud by se vám zdálo, že

Napsal uživatel MaT dne 1 Srpen, 2010 - 14:52.

Pokud by se vám zdálo, že modul securepages se příliš podepisuje na snížení výkonu, tak to celé můžete realizovat jako pravidlo pro mod_rewrite. Prostě něco jako – odpovídá-li konkrétní požadovaná adresa nějaké hodnotě/regulárnímu výrazu (třeba stránka pro login), přesměrovat na https. A obejdete se i bez modulu…

odpovědět

<IfModule

Napsal uživatel karlos dne 1 Srpen, 2010 - 14:59. 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !^on$ [NC]
RewriteRule (.*) https://www.domena.cz/ [R=301]
</IfModule>

presmeruje vse nezabezpecene v dane domene na uvodni stranku zabezpecene verze.

odpovědět

Ja myslim, ze otazka je

Napsal uživatel Jakub Suchý dne 1 Srpen, 2010 - 18:10.

Ja myslim, ze otazka je hlavne spatne polozena. Co znamena „zabezpecit Drupal“? Nema smysl si tu predhazovat nejaka polovicata reseni typu „secure pages“. Definujte co je vasim cilem – cemu chcete zabranit a pak je mozne resit co se da delat.

odpovědět

Potřebuji zabezpečit data

Napsal uživatel Anonymous (bez ověření) dne 2 Srpen, 2010 - 07:59.

Potřebuji zabezpečit data uživatelů, potřebuji minimalizovat možnost kompromitace účtu uživatelů.

  • krást data z http je snadné, https je řešení (aspoň pro credentials).
  • zvýšit důvěryhodnost e-podpisem mailu myslím není od věci.
  • dobré by bylo, pokud by se dal určitý typ obsahu uživatele zašifrovat, aby si jej admin nemohl prohlížet.

Zbytek by byl na chování uživatelů a zabezpečení serveru.

odpovědět

Takže ta data, co chcete

Napsal uživatel MaT dne 2 Srpen, 2010 - 11:33.

Takže ta data, co chcete „chránit“, chcete chránit nejen před útočníkem zvenčí, ale ještě i před adminem? Kdo k nim nakonec tedy bude mít přístup? Jen daný uživatel?

Jak jsem psal už výše – chcete-li mít v databázi nějaká data a chcete je šifrovat, proč ne – ale otázka zní, kde bude šifrovací klíč. Pokud se má s daty nějak pracovat, potřebujete je také dešifrovat. Pokud to má umět aplikace, potřebuje klíč. A pokud ho má aplikace, má ho i admin.

Jinak možná by vám k něčemu mohl být tento článek:

http://www.madirish.net/?…

odpovědět

Zajímavý článek, díky za něj.

Napsal uživatel Anonymous (bez ověření) dne 2 Srpen, 2010 - 14:43.

Zajímavý článek, díky za něj.

odpovědět

Podepsané maily

Napsal uživatel MaT dne 13 Srpen, 2010 - 21:53.

Našel jsem modul pro šifrování odchozích mailů s pomocí PGP:

http://drupal.org/project/openpgp

Nevím, jestli umí i podepisovat, ale třeba by mohl být aspoň inspirací…

odpovědět

To podepisování mailu by se

Napsal uživatel Anonymous (bez ověření) dne 14 Srpen, 2010 - 07:57.

To podepisování mailu by se asi spíše než modulem řešilo na mailserveru… ale to jen hádám.

odpovědět

Poslat nový komentář

Obsah tohoto pole je soukromý a nebude veřejně zobrazen.
  • You can use Texy! to format and alter entered content.
  • Povolené HTML značky: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <p> <br> <b> <i> <h2> <img> <pre> <sup> <sub> <pre class="php"> <span class="php-keyword1"> <span class="php-var"> <span class="php-num"> <img class="screenshot"> <p class="beginner"> <a class="greybox"> <h3> <h4>

Více informací o možnostech formátování

Mollom CAPTCHA (play audio CAPTCHA)
Type the characters you see in the picture above; if you can't read them, submit the form and a new image will be generated.

Drupal meet-up mobilni web 2011

Články, prezentace

 

Hledat

Přihlášení

Poslední komentáře

Bezpečnostní aktuality

RSS Kanály

Support