Проектирование сайтов - Как закрыть администраторский раздел? Apache с .htaccess против PHP-сессий / session authorization - Comments

Да, слышал что

Дмитрий Сергеев — Sat, 17 Mar 2007 15:15:22 +0300

Да, слышал что «пятерка» получше. Всё равно рано или поздно столкнусь, так что попробую на досуге.

А описанный недостаток авторизации с помощью .htaccess видел: у нас в университете была система дистанционного обучения. Так вот приходишь на пару, заходишь на сайт и попадаешь в чужой аккаунт.

Изюминка в том, что вкладка с настройками IE закрыта администраторами «в целях безопасности». И выйти крайне проблематично, а значит и под своим именем не зайти.

А вы посмотрите

drumrock — Sat, 17 Mar 2007 14:49:20 +0300

А вы посмотрите на свежие версии Битрикса - четвёрка была сильно неуклюжая по сравнению с пятой версией. А в 5.1-й ещё и переписали ядро, так что тормозов ощутимо меньше.

Насчёт .htaccess. У него есть ещё одна проблема - невозможно реализовать логаут средствами на сайте. Единственный вариант - принудительная очистка сессий авторизации пользователем в настройках браузера. Это критично, если предполагается использование админки и в интернет-кафе, скажем.

На счет

Дмитрий Сергеев — Tue, 13 Mar 2007 00:52:25 +0300

На счет "Битрикса" у меня предубеждение :) А админка сильно интегрирована со страницами в том же PHPBB.

Посмотри

Кочанов Сергей — Mon, 12 Mar 2007 23:51:55 +0300

Посмотри как-нибудь как Битрикс работает. Там как раз админка очень сильно интегрирована со страницами.

Кстати, да :) Но

Дмитрий Сергеев — Fri, 02 Mar 2007 10:04:10 +0300

Кстати, да :)

Но судя по табличке в Википедии, почти все так или иначе поддерживают Basic Authentication Scheme.

Не всяк сервер

Вася Триллер — Thu, 01 Mar 2007 20:17:36 +0300

Не всяк сервер .htaccess поддерживает

Ну если он

Дмитрий Сергеев — Wed, 28 Feb 2007 12:52:18 +0300

Ну если он действительно длинный, его нет в словаре и он содержит разные апострофы и решетки, то сложно подобрать :)

особенно,

Mr. Mishin Oleg — Wed, 28 Feb 2007 12:42:05 +0300

особенно, проблема с неконтролируемым и быстрым(в смысле - без задержек) подбором такого пароля =)

Мне кажется,

Дмитрий Сергеев — Wed, 28 Feb 2007 12:30:23 +0300

Мне кажется, если хостер толковый и пароль длинный, то вполне нормальный уровень защиты.

Хотя логин и пароль не шифруются при передаче. Да и грамотных хостеров не так уж и много.

Так что есть, конечно, проблемы :)

На сложных

Дмитрий Сергеев — Wed, 28 Feb 2007 12:23:17 +0300

На сложных сайтах так и получается: какая-то базовая функциональность доступна прямо со страниц сайта определенным группам пользователей, а сильно обособленные задачи управления выносятся в отдельный раздел и из этих скриптов формируется админка.

Никогда не видел администраторской панели, полностью интегрированной со страницами сайта. Показателен пример с форумами, когда модераторам удобно «расправляться» с неугодными постами и пользователями на месте, а администраторы создают группы, настраивают разделы, задают разные параметры в администраторской части. При этом в этой «администраторской части» зачастую есть и более мощная реализация «интегрированной функциональности».

И еще одно

Mr. Mishin Oleg — Wed, 28 Feb 2007 11:58:04 +0300

И еще одно сообщение - теперь меня можко квалифицировать как жестокого спамера =))))

Забыл написать,

Mr. Mishin Oleg — Wed, 28 Feb 2007 11:57:21 +0300

Забыл написать, что в админке доступ временами требуется разным группам на разные действия, к примеру одна группа пользователей может тольео добавлять новости на сайте (Корреспонденты), а вторая группа - в которую входит главный редактор - изменяет/удаляем новости и разрешает к публикации.

а на счет .htaccess -

Mr. Mishin Oleg — Wed, 28 Feb 2007 11:51:20 +0300

а на счет .htaccess - рекумендуется только на очень простых проектах, потому что уровень защиты минимальный =(

Редактирование

Mr. Mishin Oleg — Wed, 28 Feb 2007 11:50:34 +0300

Редактирование данных на внешней (читай - публичной) части сайта возможно, но в ограниченных количествах. Допустим вместо удаления какйо-то информации с сайта через внешнюю часть достаточно поставить ссылку "Скрыть с сайта". Это убьет двух зайцев: позволит давать доступ не самым опытным модераторам и защитит данные от стирания. Информация скрыта = сайт приведен в должный вид, но всегда можно все вернуть на круги своя.
А внутри, особенно на сложных проектах, представление принципиальным образом отичается, потому как на передний план выходят задачи Управления, в том числе обработки потоков/выборок данных. Да и система распределения доступа там на порядок сложнее нежели на внешней части, где обычно хватает гость+пользователь+модератор. В админке же по хорошему должны быть разные группы пользователей с настройкой не только доступа к разделам, но и видов доступа (чтение/запись), и в том числе настройка внешнего вида форм управления, как то доступ на чтение/запись отдельных полей в каждых типах данных.

Кроме того, как показывает опыт - очень полезно иметь в системе управления систему отката любых действий - очень помогает =)

Как закрыть администраторский раздел? Apache с .htaccess против PHP-сессий / session authorization

Дмитрий Сергеев — Wed, 28 Feb 2007 11:22:54 +0300

Когда я сделал свою первую админку, возник вопрос, как бы ее закрыть от злых людей. Подозревая, что просто придумать необычный адрес -- мало, я стал искать решения.

Нашлось два распространенных варианта:
* закрыть доступ к папке с администраторскими скриптами средствами Apache с помощью .htaccess и .htpasswd,
* воспользоваться PHP-сессиями и хранением пароля в базе данных.