Toon posts:

Forum secure login voor admins

Pagina: 1
Acties:

vrijdag 31 augustus 2001 12:09

Acties:
  • Haywire
  • Registratie: Januari 2000
  • Laatst online: 06-12-2025

Haywire

 

Topicstarter
Hey,

Ik ben op het moment bezig met phpBB. Werkt allemaal op mijn lokale servertje en nu is het moment gekomen om het op de echte webserver te gaan zetten. Ik zit nu echter met een dringende vraag: in hoeverre is het secure om op afstand als admin in te loggen?? Eigenlijk een rethorische vraag, want mijzelf lijkt: niet.

Hoe kan ik zorgen dat ik op afstand op mijn forum kan inloggen en daar administrator-taken kan uitvoeren zonder dat de hele wereld mijn wachtwooard voorbij kan zien komen en zo het hele forum overhoop kan gooien?

Alvast bedankt,

Eelke

vrijdag 31 augustus 2001 12:17

Acties:

Verwijderd

https://www.jouforum.nl

vrijdag 31 augustus 2001 15:26

Acties:
  • WAcKiN
  • Registratie: November 1999
  • Laatst online: 28-08-2023

WAcKiN

Het is niet zo dat de hele wereld je wachtwoord kan zien hoor :].

Alleen de beheerders van de routers van de isp's waar je langs gaan kunnen jouw tcp pakketjes sniffen (waar het wachtwoord dus plaintext in zit).

Dit zal nooit gebeuren, de routers hardware is alleen bereikbaar voor de betreffende sysadmin, en het laatste wat die mensen willen doen is tcp sniffen op een drukke router (denk aan gbytes/minuut wat je dan aan logs krijgt), als het al mogelijk is.

De enigste zwakke punten blijven dan de server zelf en de clients, vooral de client is het zwakke punt omdat je daar geen controle over hebt. Daar kan via exploits of via trojan horses een sniffer worden geinstalleerd, maar ook gewoon een keyboard monitor (dus als ze het intikken). Dus ssl (https) zal in die gevallen ook niet werken. De server daarentegen moet je gewoon goed beveiligen, wat natuurlijk een dikke vette DUH is :].

Mijn inziens de moeite niet waard om ssl certificaten en een ip adres voor te kopen, een ssl cert is alleen valid op een site met een correcte rdns (vhost ssl kan helaas niet :[ ).

vrijdag 31 augustus 2001 15:58

Acties:

Verwijderd

Op vrijdag 31 augustus 2001 15:26 schreef WAcKiN het volgende:
De enigste zwakke punten blijven dan de server zelf en de clients, vooral de client is het zwakke punt omdat je daar geen controle over hebt. Daar kan via exploits of via trojan horses een sniffer worden geinstalleerd, maar ook gewoon een keyboard monitor (dus als ze het intikken). Dus ssl (https) zal in die gevallen ook niet werken. De server daarentegen moet je gewoon goed beveiligen, wat natuurlijk een dikke vette DUH is :].

Mijn inziens de moeite niet waard om ssl certificaten en een ip adres voor te kopen, een ssl cert is alleen valid op een site met een correcte rdns (vhost ssl kan helaas niet :[ ).
Je hoeft niet persee een SSL certificaat te kopen als je gebruik wilt maken van SSL.. je kunt er ook zelf eentje maken, je browser begint dan te zeuren dat het geen erkend certificaat is en zo.. maar voor sysadmins die met het systeem vertrouwd zijn maakt dat "geen bal uit" zullen we maar zeggen.

Bij mij op de zaak hebben we ook een aantal admin dingen die van buitenaf beschikbaar zijn achter SSL gestopt, maar daarvoor hebben we geen appart SSL certificaat gekocht.

SSL draait ook op vhosts, alleen heb je een uniek IP nummer nodig om het op te kunnen draaien (dat krijg je helaas steeds minder standaard bij een hosting pakket).

Maar voor een forum administratie is het een beetje overdreven IMHO.

vrijdag 31 augustus 2001 17:17

Acties:

Verwijderd

Op vrijdag 31 augustus 2001 15:26 schreef WAcKiN het volgende:
Dit zal nooit gebeuren, de routers hardware is alleen bereikbaar voor de betreffende sysadmin, en het laatste wat die mensen willen doen is tcp sniffen op een drukke router (denk aan gbytes/minuut wat je dan aan logs krijgt), als het al mogelijk is.

De enigste zwakke punten blijven dan de server zelf en de clients, vooral de client is het zwakke punt omdat je daar geen controle over hebt.
Als jij een server hebt staan in het zelfde netwerk dan zijn er mogelijkheden om te sniffen. Dus als je het safe wilt doen laat je apache maar lekker brij uitbraken over poort 443, authenticatie met cookies, .htaccess met valid-user en deny from all met enkele ip's als uitzonderingen.

Als iemand dan nog posts kan editten als administrator heeft ie het in mijn ogen verdient ;)

dinsdag 6 november 2001 08:51

Acties:
  • Haywire
  • Registratie: Januari 2000
  • Laatst online: 06-12-2025

Haywire

 

Topicstarter
Zo, tijdje terug, ik was al zowat vergeten dat ik dit gepost had :) Bedankt voor de reacties. Als ik even mag samenvatten is de algemene mening dat het een beetje overdreven is om een SSL-verbinding op te gaan zetten. Als je een goede backup bijhoudt en er komt dan eens een grapjas die met veel pijn en moeite (het is natuurlijk zo dat ik het misschien een beetje simpel voordeed :) ) een administrator-password weet te bemachtigen door op een taktische plek te sniffen, dan kun je de schade makkelijk herstellen. Maar waarschijnlijk zal het zo'n vaart niet lopen en heb je je backup eerder nodig voor een HD-crash dan voor een hacker.

dinsdag 6 november 2001 09:39

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 22:57

Creepy

Tactical Espionage Splatterer

Hmm.. als je eens security sites zou lezen en bijhouden zou je zien dat er de laatste tijd juist een flinke opkomst is van routers hacken..

En 1 nieuwschierige sysadmin is ook al genoeg... sniffer met filter en klaar.. alleen de password's worden gelogd.. En op scholen is dit ook wel grappig... zet een sniffer neer, en je kan meestal van 1 lokaal (zolang alles op 1 hub zit) alle packets sniffen..

SSL sertificaat zou je makkelijk kunnen doen.. aanmaken en gebruiken kost je niks. Alleen je browser begint dus te zeuren dat ie het niet kent.. druk op ok en klaar.

Klinkt dit overdreven? Och.. laten we het zo zeggen dat ik wat mensen ken (waaronder systeembeheerders) die waar ze ook zitten rustig een sniffer starten om te kijken of er nog plain text passwords ergens over gaan.. (telnet/pop3/ftp anyone? :) ). Of dat nou op een bedrijfs of schoolnetwerk is maakt niet uit..

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

dinsdag 6 november 2001 12:12

Acties:

Verwijderd

Op dinsdag 06 november 2001 09:39 schreef Creepy het volgende:
Klinkt dit overdreven? Och.. laten we het zo zeggen dat ik wat mensen ken (waaronder systeembeheerders) die waar ze ook zitten rustig een sniffer starten om te kijken of er nog plain text passwords ergens over gaan.. (telnet/pop3/ftp anyone? :) ). Of dat nou op een bedrijfs of schoolnetwerk is maakt niet uit..
ALS mensen daar achterkomen kunnen ze echt hele grote problemen krijgen, als ik er ooit achter zou komen dat iemand mijn passwd's loopt te filteren sla ik hem echt dood :+

dinsdag 6 november 2001 12:42

Acties:
  • Creepy
  • Registratie: Juni 2001
  • Laatst online: 22:57

Creepy

Tactical Espionage Splatterer

Op dinsdag 06 november 2001 12:12 schreef Kertje het volgende:

[..]

ALS mensen daar achterkomen kunnen ze echt hele grote problemen krijgen, als ik er ooit achter zou komen dat iemand mijn passwd's loopt te filteren sla ik hem echt dood :+
Hehehe... ach ja.. ik vind het ook niet kunnen.. maar goed.. voor dat soort eikels gebruik ik nu SSH, SFTP, POP3S (SPOP3) en SHTTP. Dus ze gaan hun gang maar :)

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

Pagina: 1
Reageer