Jirka fL Posted March 2, 2010 Share Posted March 2, 2010 Zdravím,narazil jsem na problém. Instalován je Prestashop 1.2.5.0.Pokud nedojde k odhlášení, lze se prostřednictvím URL dostat do administrace bez přihlášení i po uzavření a znovuotevření prohlížeče.Token to akceptuje jako platný a nenaběhne přihlašovací stránka, ale rovnou stránka v administraci..Pokud se uživatel odhlásí, je všechno OK.Nemá někdo zkušenost se zabezpečování aplikace?Doplnění: Zkoušel jsem funkce nového shopu a dopadl jsem stejně. http://www.prestashop.com/en/showcase_demo/Hostováno na PIPNI.CZ - pro úplnost (zatím FREE)Jirka Link to comment Share on other sites More sharing options...
Caleydon Posted March 2, 2010 Share Posted March 2, 2010 Udaje o prihlaseni sa ukladaju do cookies. Nie je to ziadne bezpecnostne riziko, pokial sa z tvojho pocitaca chce niekto dostat do adminu a ty sa neodhlasis. Link to comment Share on other sites More sharing options...
Jirka fL Posted March 2, 2010 Author Share Posted March 2, 2010 Zdravím,já obecně toto považuji za bezpečnostní riziko. Základní prvek má být navázané spojení, které se po vypršení seance (po nastavené době nečinnosti) deaktivuje.Ale vše je věcí názoru.Kamarádovi tedy poradím, aby se důsledně odhlašoval, protože se bude přihlašovat z jiných PC.Díky. Link to comment Share on other sites More sharing options...
Caleydon Posted March 2, 2010 Share Posted March 2, 2010 Skus toto:Otvor si v textovom editore subor: prestashop/classes/Cookie.php najdi zapis na riadku 51: $this->_expire = isset($expire) ? intval($expire) : (time() + 1728000); skus sa s nim pohrat a znizit hodnotu napr. na $this->_expire = isset($expire) ? intval($expire) : (time() + 3600); Hodnota 3600 je 3600 sekund (1 hodina) zivotnosti cookies. Znamen to, ze ked odide z adminsitracie a nevrati sa do nej za viac ako hodinu, bude sa musiet zasa prihlasit.Ak chces nastavit napr. 15 minut, zadaj hodnotu 15x60 = 900. atd.Riesenie som netestoval, tak daj potom vediet, ci to funguje. Link to comment Share on other sites More sharing options...
Jirka fL Posted March 2, 2010 Author Share Posted March 2, 2010 Díky, již jsem si s kamarádem psal. Takže se bude odhlašovat a je si toho rizika vědom. Asi bych viděl tento parametr umístit do administrace do záložky Security. A doporučit minimální a maximální hodnotu.Pokud bych se podílel na vývoji, tak bych hledal řešení. Bohužel nyní by to bylo hodně kontraproduktivní.Určitě v nové Alfa verzi se nachází mnoho vylepšní.Jirka Link to comment Share on other sites More sharing options...
JAKCRABBIT Posted March 2, 2010 Share Posted March 2, 2010 Vyřešil bych to přes .htaccess, to si žádný cookies neukládá, zahesloval bych adresář adminxxx a po ptákách Link to comment Share on other sites More sharing options...
Caleydon Posted March 2, 2010 Share Posted March 2, 2010 @jakcrabbit: alebo tak Link to comment Share on other sites More sharing options...
JAKCRABBIT Posted March 2, 2010 Share Posted March 2, 2010 Nebo webhosting taky umožňuje snad zaheslování adresáře.... a přístup do adresáře jen z vypsaných IP apod... možností je tolik.... Link to comment Share on other sites More sharing options...
Jirka fL Posted March 2, 2010 Author Share Posted March 2, 2010 Souhlasím. že řešení zabezpečení je více. Předpokládám, že se záložka Security asi v budoucnu rozroste.Já docela preferuji omezení přístupu prostřednictvím definice IP adres. Ale to může být pro řadu osob omezující.Ještě jednou díky.Jirka Link to comment Share on other sites More sharing options...
JAKCRABBIT Posted March 3, 2010 Share Posted March 3, 2010 "pro řadu osob omezující" ? No holt se nepřipojíš do admina kdekoliv, ale jen na určitých místech.... Link to comment Share on other sites More sharing options...
Jirka fL Posted March 3, 2010 Author Share Posted March 3, 2010 Jasně, jak jsem psal, chápu to. předpokládám však, že Karta zabezpečení se z těchto důvodů v budoucnu rozroste.Je rozumější toto více rozebrat a ohlídat v rámci aplikace.Doporučuji v rámci např. instalace aplikace provést i přejmenování složky s administrací.Jirka Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now