поставленный вопрос ответить - нет. Вопрос был не в базах и почём. Он был довольно прямой. Можно ли что-то сделать с этой авторизацией. Все выше сказанные предложения имеют место быть, если не брать в учёт тот факт, что это все не нужно. Нужно именно то, что я спросил. Не более. Надеюсь все поняли мой первый вопрос? Если нет, ничего. Все равно, всем спасибо
Если честно ничего не поняли
https://dev.1c-bitrix.ru/api_help/main/reference/cuser/authorize.php исходя из документации стоит заблокировать админа за нумером. Это действительно детский сад какой-то. Тогда если админ живет с ид 37495 то мамкины хакеры нескоро доберутся. Ну а если сообразят что можно перебрать в цикле, тогда им не помеха
Если кто может создать / редактировать файлы то что мешает в main сделать любую комбинацию логина/пароля верной, зайти и получить доступ к базе? И почему закрытие ФТП и выдача прав только на определенный раздел с запретом редактировать не решает проблему?
Стоп стоп фтп одно права на базу другое
через фтп можно узнать пароли к бд
Все всё поняли кроме вас. Я вас спросил - почему вы боитесь авторизации? В чем вы видите угрозу авторизации? Давайте я вам отвечу за вас - если кто-то может создавать файлы на диске, то нет смысла "защищать" от него авторизацию, потому что не ничего такого, что можно сделать с авторизацией и нельзя без неё. Если я могу создавать файлы мне авторизация уже вообще не нужна - я и так всё могу сделать. Проверка авторизации это всего лишь if где-то в глубинах ядра. Что мешает мне заменить там условие на true? Или вообще убрать этот if?
Я могу залить файл с тремя строками кода через дыру какой-то формы (как это было в компоненте форума когда-то) и просто входить как админ и дальше делать что угодно. И никакой фтп мне не нужен. Понимаете к чему я веду? Даже ваша авторизация мне не нужна. Всё, на мой вопрос уже ответ не нужен. Мою тему закрыли
если вам могут закинуть такой файлик через форму, то скорее всего будут кидать какой-нибудь скрипт, который все подчистит в базе или подменит index файлы, или вы думаете атакующий полезет конкретно на ваш сайт в админку, что бы что? проверить настройки битрикса?
да тут другой кейс разработчик оставит за собой такой файл и не подчистит, или саппорт какого модуля или сам забудешь про него так то он не от чего не защищает (запрет такой авторизации)
Да в том то и дело, что защиты никакой. Я это вижу как не продуманная трата ресурсов на решение пустой задачи
я один раз встречал на проектах такой запрет :)
Обсуждают сегодня