We launched new forums in March 2019—join us there. In a hurry for help with your website? Get Help Now!
MODX Community Forums Archive

[Урок] "Методы защиты папки manager"

    • 6366
    • 54 Posts
    dalekhin Reply #1, 16 years, 5 months ago
    Оригинал статьи на сайте modx.ru.

    приглашаем к обсуждению.


      Russian FileShare Service MODx powered smiley
      • 19164
      • 1,215 Posts
      Metaller Reply #2, 16 years, 5 months ago
      Могу лишь внести дополнение, что файл паролей можно сгенерировать и локально на своем компе по windows, если нет доступа к шеллу. Для этого нужно иметь файл htpasswd.exe который можно поискать в инете по имени, кроме того он входит в комплект денвера (\usr\local\apache\bin\htpasswd.exe)
        DirectResize 0.9 beta. PHPThumb, sets of configurations, configuration, binded to specific path. No backward compatibility. | DirectResize 0.9. PHPThumb, наборы параметров, параметры, привязанные к определенным путям. Без обратной совместимости.

        Unfortunately, DirectResize project is closed. If you want to continue development, PM me for access to project page on Google Code. К сожалению, проект DirectResize закрыт. Если вы желаете продолжить разработки, обращайтесь через ПМ для получения доступа к репозиторию на Google Code.

        [PLUGIN] DirectResize - as Maxigallery but for single images :: Download :: [url=http://modxcms.com/forums/index.php/topic,21490]
        • 33694
        • 742 Posts
        [e]Bu$ter Reply #3, 16 years, 5 months ago
        Я тоже внесу дополнение, касательно того, что вовсе не обязательно иметь доступ к конфигу апача, можно все эти правила в главном файле .htaccess прописать. А немного модифицировав, можно и в том который в админке лежит.
          • 6366
          • 54 Posts
          dalekhin Reply #4, 16 years, 4 months ago
          Quote from: Metaller at Dec 12, 2007, 01:22 PM

          Могу лишь внести дополнение, что файл паролей можно сгенерировать и локально на своем компе по windows, если нет доступа к шеллу. Для этого нужно иметь файл htpasswd.exe который можно поискать в инете по имени, кроме того он входит в комплект денвера (\usr\local\apache\bin\htpasswd.exe)

          htpasswd и htdigest вообщето разные должны генерировать хэши, как протокол там разный.
          О htpasswd и basic auth - во второй части
            Russian FileShare Service MODx powered smiley
            • 31716
            • 61 Posts
            Vladimir Kim Reply #5, 16 years, 4 months ago
            Добрый день!

            У себя как раз делал похожую защиту (.htaccess->Restricted area). Но на одном сайте пришлось от нее отказаться. Причина банальна - если запретить доступ к папке manager перестает работать Capcha, и соответственно, регистрация новых пользователей. sad

            С уважением, Владимир
              www.verseq.ru - необычный клавиатурный тренажер, уже через час вы сможете печатать вслепую. smiley
              www.taiso.ru - арт-группа Taiso Style (портфолио, правда до сих пор нет времени выложить за последних два года smiley )
              • 6366
              • 54 Posts
              dalekhin Reply #6, 16 years, 4 months ago
              я использую свой ( вернее адаптированный сниппет captcha.ru) капчер в силу того, что мне родная капча не очень нравится - так как на мой взгляд, алгоритм генерации изображения у нее не слишком стойкий , поэтому не сталкивался с такой проблемой.
              Посмотрю на досуге что там можно сделать.
                Russian FileShare Service MODx powered smiley
                • 31716
                • 61 Posts
                Vladimir Kim Reply #7, 16 years, 4 months ago
                Спасибо, сейчас посмотрю что за капча. smiley

                А сложно интегрировать ее в weblogin?

                С уважением, Владимир
                  www.verseq.ru - необычный клавиатурный тренажер, уже через час вы сможете печатать вслепую. smiley
                  www.taiso.ru - арт-группа Taiso Style (портфолио, правда до сих пор нет времени выложить за последних два года smiley )
                  • 6366
                  • 54 Posts
                  dalekhin Reply #8, 16 years, 4 months ago
                  вот тут посмотрите. http://modxcms.com/forums/index.php/topic,17650.msg111005.html#msg111005
                  Интегрируется она очень просто - картинка при загрузке пишет в сессию код. Который вы потом сверяете.

                    Russian FileShare Service MODx powered smiley
                    • 6366
                    • 54 Posts
                    dalekhin Reply #9, 16 years, 4 months ago
                    у меня нет под рукой сейчас синсталлированного тестового MODx, что бы проверить как исправить родную капчу, но судя по коду вот так :

                    найти в /manager/includes/accesscontrol.inc.php :
                    в нем след строки 
                                    if($use_captcha==1)  {
                                $modx->setPlaceholder('login_captcha_message',$_lang["login_captcha_message"]);
                                $modx->setPlaceholder('captcha_image','<a href="'.$_SERVER['PHP_SELF'].'" class="loginCaptcha"><img src="'.$modx->getManagerPath().'includes/veriword.php?rand='.rand().'" alt="'.$_lang["login_captcha_message"].'" /></a>');
                                $modx->setPlaceholder('captcha_input','<label>'.$_lang["captcha_code"].'</label> <input type="text" name="captcha_code" tabindex="3" value="" />');
                }


                    исправить на:

                                    if($use_captcha==1)  {
                                $modx->setPlaceholder('login_captcha_message',$_lang["login_captcha_message"]);
                                $modx->setPlaceholder('captcha_image','<a href="'.$_SERVER['PHP_SELF'].'" class="loginCaptcha"><img src="'.$modx->config['base_path'].'assets/snippets/captcha/veriword.php?rand='.rand().'" alt="'.$_lang["login_captcha_message"].'" /></a>');
                                $modx->setPlaceholder('captcha_input','<label>'.$_lang["captcha_code"].'</label> <input type="text" name="captcha_code" tabindex="3" value="" />');
                }


                    Сам файл /manager/includes/veriword.php скопировать в /assets/snippets/captcha/veriword.php
                    Скопировать папки noises и ttf из /manager/includes/ в /assets/snippets/captcha/

                    Во всех файлах где используется капча - подправить путь у ней :

                    Например для weblogin:
                    assets/snippets/weblogin/websignup.inc.php: <a href="[+action+]"><img align="top" src="manager/includes/veriword.php?rand=<?ph ....

                    Для Jot и Eform можете найти самостоятельно grep-ом. smiley
                      Russian FileShare Service MODx powered smiley
                      • 31716
                      • 61 Posts
                      Vladimir Kim Reply #10, 16 years, 3 months ago
                      Quote from: dalekhin at Dec 19, 2007, 10:46 AM

                      я использую свой ( вернее адаптированный сниппет captcha.ru) капчер в силу того, что мне родная капча не очень нравится - так как на мой взгляд, алгоритм генерации изображения у нее не слишком стойкий , поэтому не сталкивался с такой проблемой.
                      Посмотрю на досуге что там можно сделать.
                      Скажите, а как Вы ее адаптировали? У меня проблемы с сессиями возникли при прикрутке, пришлось генератор каптчи в сниппет вставить, тогда заработало. А Вы как решили?

                      С уважением, Владимир.
                        www.verseq.ru - необычный клавиатурный тренажер, уже через час вы сможете печатать вслепую. smiley
                        www.taiso.ru - арт-группа Taiso Style (портфолио, правда до сих пор нет времени выложить за последних два года smiley )