Безопасность

Генерируемый веб-ресурс можно быстро восстановить в случае ошибочного или чужого вмешательства в его работу. Обычная перегенерация из исходников :)

Злоумышленнику неизвестно расположение генератора с исходниками - URL-адрес веб-интерфейса генератора (админки).
Пути настраиваются в файле vpb_config.php, который находится в директории движка по этому же URL - адресу. Папку с движком можно поменять (переименовать или переместить) в любой момент (вместе с правкой конфигурационного файла), вся папка движка с исходниками может быть удалена с сервера после генерации и бекапа (копия исходников тоже находится внутри корневой папки движка).

В файле конфигурации vpb_config.php находится функция авторизации, вызываемая при любой операции (запросе с клиента). Для авторизации используется двойной md5 - хеш, который формируется несколько раз из различных комбинаций IP-адреса, логина, пароля, user-agent, а так же других данных.
Переменные $pb_hash, $pb_ip, $pb_ua, $pb_add. Строки 86, 89 конф.файла.
Так же возможно добавление к хешу произвольного текста при помощи user-script браузера ($pb_add).

Рекомендуется изменить формирование хеша при настройках vpb_config.php (строки 86, 89).

Веб-интерфейс генератора - это одна AJAX-страница. Содержит в себе собственный хеш, бесполезный для других. Разумеется, увидеть админку можно только после успешной авторизации (тогда на сервере сформируется содержимое админской страницы и её хеш для дальнейшей работы, если клиент его сам не сформировал).

Для защиты при перехвате трафика нужно изменить функцию авторизации, принимая сформированный на клиенте хеш. Хеш должен формироваться по приведенным выше правилам (IP-адрес обязателен). Хеш может вставляться в поле ввода пользовательским JavaScript.

Список логинов-паролей хранится в файле vpb_config.php. Зачем пару-тройку паролей хранить в БД в виде хешей, если сам пароль для доступа к БД хранится обычно в открытом виде, и это никого не пугает?

Движок Vcorp Generator не использует БД, поэтому бессмысленны SQL-инъекции, да и бекапы делаются простым копированием папки с исходниками, поэтому полное восстановление сайта (как и перенос на другой хостинг) может занять лишь время, необходимое для копирования папки с генератором и папки с исходниками, возможного импорта, плюс перегенерации ресурса.

После генерации веб-ресурса и бекапа исходников, директорию с генератором и исходниками можно вообще удалить. В случае необходимости изменений, папка с движком-генератором копируется на сервер вместе с исходниками, происходит правка и перегенерация, бекап, затем удаление папки.

Размер Vcorp Generator без исходников - около 209 Кбайт. Размер исходников для сайта в 1000 страниц может быть равен 2-5 Мб контента, время их генерации 1-3 сек. в зависимости от сервера. Остальные файлы веб-ресурса (изображения и проч.) - вне задач, решаемых генератором.

Для навигации по всем страницам этого раздела сайта используйте пиктограмму меню или ссылку Навигация в верхней строке навигации.

  • «Vcorp Generator» - Главная страница раздела
  • Основные сведения
  • Установка, хостинг, список файлов
  • Настройка движка - vpb_config.php
  • Веб-интерфейс и работа с генератором
  • Бекапы и смена хостинга, перенос файлов
    •
  • Оригинальные особенности
  • Генерация (сборка) файлов
  • Коррекция ошибок
  • Runtime - переменные
  • Динамические ссылки
  • Дополнительные операции
    •
  • Дополнительно
  • Безопасность
  • Высокие нагрузки на веб-ресурсы
  • Перенос исходников из различных CMS
    •
  • Скачать vpb_0080.zip (67 Kb)
  • Демо-админка с примером сайта
  •  
  • Vcorp.ru - Главная страница сайта
  • Тест больших гридов в перемещаемых окнах
  • Тестирование 3D графики в браузерах
  • «VcorpJS» - Главная страница раздела
  • «Lazarus fpCEF3» - Главная страница раздела
    • Открывать окно навигации
    <<<
    Изменить высоту >>