Jump to content

Zabezpečení Prestashop Administrace


Jirka fL

Recommended Posts

Zdravím,
narazil jsem na problém. Instalován je Prestashop 1.2.5.0.
Pokud nedojde k odhlášení, lze se prostřednictvím URL dostat do administrace bez přihlášení i po uzavření a znovuotevření prohlížeče.
Token to akceptuje jako platný a nenaběhne přihlašovací stránka, ale rovnou stránka v administraci..
Pokud se uživatel odhlásí, je všechno OK.

Nemá někdo zkušenost se zabezpečování aplikace?

Doplnění: Zkoušel jsem funkce nového shopu a dopadl jsem stejně.
http://www.prestashop.com/en/showcase_demo/

Hostováno na PIPNI.CZ - pro úplnost (zatím FREE)

Jirka

Link to comment
Share on other sites

Zdravím,
já obecně toto považuji za bezpečnostní riziko. Základní prvek má být navázané spojení, které se po vypršení seance (po nastavené době nečinnosti) deaktivuje.
Ale vše je věcí názoru.
Kamarádovi tedy poradím, aby se důsledně odhlašoval, protože se bude přihlašovat z jiných PC.

Díky.

Link to comment
Share on other sites

Skus toto:

Otvor si v textovom editore subor:

prestashop/classes/Cookie.php



najdi zapis na riadku 51:

$this->_expire = isset($expire) ? intval($expire) : (time() + 1728000);



skus sa s nim pohrat a znizit hodnotu napr. na

$this->_expire = isset($expire) ? intval($expire) : (time() + 3600);



Hodnota 3600 je 3600 sekund (1 hodina) zivotnosti cookies. Znamen to, ze ked odide z adminsitracie a nevrati sa do nej za viac ako hodinu, bude sa musiet zasa prihlasit.

Ak chces nastavit napr. 15 minut, zadaj hodnotu 15x60 = 900. atd.

Riesenie som netestoval, tak daj potom vediet, ci to funguje.

Link to comment
Share on other sites

Díky,
již jsem si s kamarádem psal. Takže se bude odhlašovat a je si toho rizika vědom.
Asi bych viděl tento parametr umístit do administrace do záložky Security. A doporučit minimální a maximální hodnotu.

Pokud bych se podílel na vývoji, tak bych hledal řešení. Bohužel nyní by to bylo hodně kontraproduktivní.
Určitě v nové Alfa verzi se nachází mnoho vylepšní.

Jirka

Link to comment
Share on other sites

Souhlasím. že řešení zabezpečení je více. Předpokládám, že se záložka Security asi v budoucnu rozroste.
Já docela preferuji omezení přístupu prostřednictvím definice IP adres. Ale to může být pro řadu osob omezující.

Ještě jednou díky.

Jirka

Link to comment
Share on other sites

Jasně, jak jsem psal, chápu to. předpokládám však, že Karta zabezpečení se z těchto důvodů v budoucnu rozroste.

Je rozumější toto více rozebrat a ohlídat v rámci aplikace.

Doporučuji v rámci např. instalace aplikace provést i přejmenování složky s administrací.

Jirka

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...