NOVINKY : Texty : Komentáře : Auditoria : Seriály : Click & Bound : Kalendárium                       Home   

Identita :
NEZNAMY_4069 
info : profil : má auditoria : známí
přítomní : všichni : uspat : logout


Spřátelené weby :



Wacovo doupě
www.eleferno.cz

Stránka Domi.D
Shop s BDSM pomůckami
Njalova noční říše
Dark Club
Klub antropomorfní kynologie. Domov pejsků a feneček v lidské podobě
Sluneční tvrz Petrůvka
Yelen plastification. Fetish foto a móda



clanek reaguje nikdo
na clanek reaguji nikdo

Rubriky
Začátečníkům  ( 66 )
Náctiletým  ( 11 )
Reálné zážitky  ( 55 )
Scénáře  ( 16 )
Povídky  ( 100 )
Poezie  ( 33 )
Eseje a úvahy  ( 53 )
Teorie BDSM  ( 34 )
BDSM v praxi  ( 45 )
Udělej si sám  ( 11 )
Recenze,testy  ( 5 )
Reportáže  ( 23 )
Bondílna  ( 8 )
Help  ( 6 )
Vox populi  ( 62 )
Editorial  ( 13 )

Pište pro www.ds-life.cz

Komentáře
Zatím není žádný komentář.


Znamkovali

Existujici
-

Alespon registrovani
-

vsichni
3


(1)
()
()
()
()
()
()
()


Znamkovani - jako ve skole
Neznamkuji 5 4 3 2 1

Oficiální článek ( 8.6.2003 23:10:07 )
Bezpečnostní nastavení.
Přečetlo 7904 lidí celkem 18178 krát (zobrazit statistiku). Komentovalo 0 lidí 0 krát. (zobrazit komentáře)
Chraňte zde své soukromí !
          

ABSTRAKT: Bezpečnostní nastavení serveru DS-life.cz

Vkladatel:NTPT ., Autori:NTPT  Témata : Server DS-LIFE.CZ    Testy a pokusy    Novinky a zprávy    Rubriky : Help   

Uvodní informace

Protokol pro přenos web stránek po internetu (HTTP) nepatří k nejbezpečnějším a spoustu věcí neumožňuje. Jeho nedokonalost ovlivňuje bezpečnost naprosto VŠECH webových aplikací kdekoliv ve světě.jednou z největších slabin HTTP protokolu jest jeho bezstavovost a nekonkrétnost (není jednoznačně určen ani počítač ani uživatel, ke kterému tečou data).

trochu techniky :Proto má každý diskuzní server nějaké ID přihlášeného uživatele (mageo například u=gdfgghrdhbsdfghdfbdgdssgdg, DS-life "session_id=dgftvsdaqdfastwqfvasdtsaf"), které browser posílá spolu s každým požadavkem na stránku, většinou jako součást URL. Podle toho ID pak server rozlišuje, "kdo je na druhém konci drátu" a řídí data, která pošle.

Jenže ... toto ID může padnout do rukou i nepovolanému a nic mu nebrání aby se pak tvářil jako Vy, četl Vaši poštu a vaším jménem psal do auditoria. Tomu se ale všechy diskuzní filtry brání nějakou "ochranou".

Standardně se zjišťuje, IP adresa, odkut se na server hlásíte a pak se kontroluje, jestli se v průběhu Vaší práce nezměnila. Pakliže se změnila, musíte se přihlásit znovu. To ve většině případu stačí jako ochrana před neautorizovanými přístupy, nicméně jsou velmi četné vyjímky. Pro úspěšné nabourání takovéto ochrany stačí, když útočník získá stejnou IP adresu jako máte momentálně Vy. Což v některých případech není vůbec těžké. Používate proxz server ? Pak stačí aby útočník použil stejný server, tím získá stejnou IP adresu a hurá. Jste z velkého podniku, který se na venek tváří jako jedna jeiná IP adresa (NAT, maškaráda, zeptejte se svého zprávce) ? Pak má stejnou IP adresu i každý ve vašem podniku a ochrana selhává. Používáte anonymizér a myslíte si, že jste chránění ? Chyba lávky, anonymizer je vlastně "jen" proxy server a platí pro něj, co už bylo řečeno.

Jsme si vědomi, že otevřenost komunikace a dokonce o tak intimních záležitostech, jako sexuální orientace a BDSM zvláště, jest ožehavou, že otevřenost může někdo krutě zaplatit v případě vyzrazení svých názorů či byť jen faktu, že na tento server chodí. Proto jsme bezpečnostní systém serveru navrhli s co možná největším ohledem na soukromí a s cílem co možná nejvíce ztížit případným útočníkům jejich "práci".

Zaprvé: Bezpečnost serveru jest chráněna na úrovni jádra Linuxu pomocí Linux Intrusion Detect System

Zadruhé: K serveru můžete přistupovat jednak klasickým přístupem ,jednak zabezpečeným na adrese https://www.ds-life.cz

Zatřetí: sesion_id, cookie ale i další uživatele přiřazující konstanty se mění s každým přihlášením (odchytí li někdo Vaše session ID, je jeho použitelnost omezená do Vašeho odhlášení, pak je již navěky neplatné.

Začtvrté: Dalším opatřením jsou zde bezpečnostní filtry. Doporučuji Vám aby jste je používali!

Poznámka Bezpečnost mohou využívat jen REGISTROVANÍ (nejméně žlutá hvězdička). Mohou ji nastavit v /profil/bezpečnost . Změna nastavení jest chráněna heslem, takže ji musíte potvrdit zadáním svého hesla , jinak změna NEBUDE provedena !!!

Můžete nastavit následující : Aktivovat bezpečnostní filtry

  • Filtr IP kntroluje, zdali se nezměnila IP adresa v průběhu Vaší práce ze serverem (tedy, jestli se nemění IP adresa v době od přihlášení po odhlášení). Změna IP adresy, tze které se přistupuje je vyhodnocena jako útok a přístup je zablokován. toto je standardní řešení, platn¨é na všech diskuzních serverech. Aktivací tohoto bezpečnostního filtru máte úroveň ochrany mírně lepší než na serveru Mageo, spolu se všemi výhodami a nevýhodami. Alespoň tento filtr používejte Vždy !!!! . Situace, kdy se tento filtr hodí nepoužívat jsou řídké.
    • kdy a jak filtr používat : Filtr aktivujete zatržením checkboxu "Filtr IP". požívejtre jej za všech okolností.
    • účinnost a spolehlivost filtru Filtr pracuje poměrně spolehlivě, máte li tzv "veřejnou IP adresu", lhostejno jestli statickou nebo dynamickou, jste napojeni přes modem a NEPOUžíváte ani proxy server ani anonymizer. Filtr selhává, jedete li ze zaměstnání, škol, úřadů, nebo jiných míst, které používají tzv "privátní" nebo "vnitřní" IP adresu spolu s NAT , MASQ a/nebo buďto vlastní proxy nebo cache servery. V takovém případě Vás filtr neochrání před útočníky používající stejnou síť, (například před kolegy s práce), nebo stejný proxyserver (většinou všichni klienti jednoho providera)
    • kdy filtr nepoužívat Situace, kdy filtr nepoužívat jsou VELMI řídké.
    • plané poplachy Používate li sice veřejnou IP adresu, ale tato adresa je z nějakého důvodu řízena pomocí DHCP serveru a někdy se mění, může dojít k planému poplachu aniž by se někdo snažil nabourat Váš účet. V tom případě se přihlaste znovu.
  • Filtr VIA Tento filtr je užitečný, pakliže komunikujete prostřednictvím proxy serveru. Kontroluje hlavičku HTTP_VIA a snaží se určit, zda se nezměnila trasa dat mezi serverem DSlife, proxy serverem a Vámi a tuto změnu interpretuje jako útok a znemožní přístup.
    • kdy a jak filtr používat : Filtr aktivujete zatržením checkboxu "Filtr VIA",jeho využití je zejména v situaci, kdy musíte komunikovat přes proxy server a zároveň tento server zasílá hlavičku "VIA" (většina proxy serverů to dělá a posílá buďto IP adresu, nebo jméno serveru či další informace.)
    • účinnost a spolehlivost filtru Filtr pracuje jen a pouze v případě, že používaný proxy server posílá hlavičku HTTP_VIA, jinak je neúčinný. Jde spíše o doplňkový filtr.
    • kdy filtr nepoužívat Nepoužíváte li proxy server a to ani tzv transparentní, nebo pokut Vámi používaný proxy server neposílá příslušné hlavičky, je použití filtru zbytečné. jeho použitím ale nic nezkazíte. V systémech, kde se cesta dat často mění (školy, rozsáhlé podniky s centrálním přístupem k internetu etc ) však tento filtr může způsobovat plané poplachy.
    • plané poplachy V systémech se zřetězenými či hieratrchicky stavěnými proxy servery může dojít k planému poplachu aniž by se někdo snažil nabourat Váš účet. V tom případě se přihlaste znovu.
  • Filtr FORWARD Tento filtr je užitečný, pakliže komunikujete prostřednictvím proxy serveru. Kontroluje hlavičku HTTP_FORWARD a snaží se určit, zda se nezměnil konečný cíl dat a tuto změnu interpretuje jako útok a znemožní přístup.
    • kdy a jak filtr používat : Filtr aktivujete zatržením checkboxu "Filtr FORWARD",jeho využití je zejména v situaci, kdy musíte komunikovat přes proxy server/firewall a zároveň tento server zasílá hlavičku "FORWARD" (jen některé servery)
    • účinnost a spolehlivost filtru Filtr pracuje jen a pouze v případě, že používaný proxy server posílá hlavičku HTTP_FOERWARD, jinak je neúčinný. Jde spíše o doplňkový filtr.
    • kdy filtr nepoužívat Nepoužíváte li proxy server a to ani tzv transparentní, nebo pokut Vámi používaný proxy server neposílá příslušné hlavičky, je použití filtru zbytečné. Jeho použitím ale nic nezkazíte.
    • plané poplachy Nastávají málokdy
  • Filtr FORWARDED_FOR: Tento filtr je užitečný, pakliže komunikujete prostřednictvím proxy serveru a sanží se určit kterému počítači jsou data určena.
    • kdy a jak filtr používat : Filtr aktivujete zatržením checkboxu "FORWARDED_FOR",jeho využití je zejména v situaci, kdy musíte komunikovat přes proxy server/firewall a zároveň tento server zasílá hlavičku "FORWARDED_FOR" (což dělá naprostá většina nejen firemních ale i veřejných proxy serverů). Fíiltr je zejména užitečný tam, kde se nemůžete vyhnout provozu přes proxy server a má za cíl zabránit napadnout Váš účet použitím téhož proxy serveru. Užitečný ve velkých firmách a tam, kde se nemůžete použití proxy serveru vyhnout
    • účinnost a spolehlivost filtru Filtr pracuje jen a pouze v případě, že používaný proxy server posílá hlavičku HTTP_X_FORWARDED_FOR, jinak je neúčinný. To dělá naprostá většina proxy serverů.
    • kdy filtr nepoužívat Nepoužíváte li proxy server a to ani tzv transparentní, nebo pokut Vámi používaný proxy server neposílá příslušné hlavičky, je použití filtru zbytečné. Filtr Vás také neochrání, používáte li anonymizér Jeho použitím ale nic nezkazíte.
    • plané poplachy Nastávají málokdy, jen pokut je u počítače použito řízení IP adresy pomocí DHCP a tato adresa se mění,
  • Filtr REFERRER: Tento filtr kontroluje, zdali přístup na každou stránku DSLLIFE byl veden jen a pouze z jiné stránky serveru,kterou jste před tím navštívili. Je užitečný v prostředí, kde hrozí nebezpečí prozrazení Vašeho session_id, kde zároveň není možno účinně použít filtr IP (to jest školy, úřady, firmy atd, viz kapitola Filtr IP). Filtr zabrání okopírování platného session identifikátoru do panelu "Adresa" Vašeho www browseru a tím pádem znemožní nebo znesnadní jeden z nejlacinějších útoků na Vaše soukromí v podnicích, školách, úřadech a inet kavárnách.
    • kdy a jak filtr používat : Filtr aktivujete zatržením checkboxu "filtr Referrer", jeho využití je všeobecné a je doporučeno nechat jej trvale zapnutý.
    • účinnost a spolehlivost filtru Filtr pracuje spolehlivě tak že je zaměřen na hlavičku HTTP referrer, kterou posílá www browser. Jeho fungování však narušují některé browsery a některá bezpečnostní doplňky a osobní firewally instalované na počítač (Proxomitron, Admuncher atd). Konzultujte manuál k těmto bezpečnostním doplňkům a osobním firewallům, jak vypnout jejich působení pro server www.ds-life.cz
    • kdy filtr nepoužívat Některé minoritní browsery mohou mít s používáním tohoto filtru problémy, protože korektně nezpracovávají hlavičku "http_referrer". Máte li problémy, buďto filtr vypněte, nebo změňte browser.
    • plané poplachy Nejsou. Jediným vedlejším projevem jest situace, kdy nemůžete sami měnit URL adresu v rámci serveru. Protože jakoukoliv změnou v panelu Adresa u browseru vyvoláte falešný poplach. Fungování DHCP ani proxy ani NAT nemá na funkci filtru vliv. Bohužel, některé verze netscape, a mozilly se s timto filtrem nesnášejí
  • Filtr USER_AGENT : Tento filtr se pokouší kontrolovat jméno a verzi browseru a jméno a verzi OS. Zjistí li změnu jména browseru, jeho verze nebo změnu operačního systému, odepře přístup.
    • účinnost a spolehlivost filtru Filtr pracuje spolehlivě tak že je zaměřen na hlavičku HTTP USER AGENT kterou posílá www browser s informacemi o operačním systému a browseru. Učinnost je velmi dobrá a jeho hlavní využití jest v heterogení podnikové síti.Jeho fungování však narušují některé browsery a některá bezpečnostní doplňky a osobní firewally instalované na počítač (Proxomitron, AdMuncher atd). Konzultujte manuál k těmto bezpečnostním doplňkům a osobním firewallům, jak vypnout jejich působení pro server www.ds-life.cz. Doporučuji mít tento filtr stále zapnutý
    • kdy filtr nepoužívat Provoz přez anonymizer. Vtom případě je filtr neúčinný,ale ve většině případů jeho použití nic nezkazí.
    • plané poplachy Nejsou. Jediným vedlejším projevem jest situace, kdy jste v pdůbehu práce ze serverem (od přihlášení po logout) updatovali operační systém, instalovali nějaké dopňky nebo přeinstalovávali www browser.
  • Filtr COOKIE : Tento filtr identifikuje uživatele nejen podle session_id,ale také podle tzv cookie, kterou při úspěšném přihlášení uživateli zašle. Případný útočník musí tedy zjistit nejen vaše momentální session_id, ale i vaši aktuální cookie, což není snadné. Neprokáže li se uživatel kromě správného session:id i správnou cookie, je to filtrem vyhodnoceno jako útok a přístup je odmítnut.
    • účinnost a spolehlivost filtru Filtr pracuje spolehlivě. Jeho fungování však narušují některé browsery a některá bezpečnostní doplňky a osobní firewally instalované na počítač (Proxomitron, AdMuncher atd) a také vypnutí cookies v browseru.. Konzultujte manuál k těmto bezpečnostním doplňkům a osobním firewallům, jak vypnout jejich působení pro server www.ds-life.cz. Doporučuji mít tento filtr stále zapnutý
    • kdy filtr nepoužívat Nechcete li,nebo nemůžete používat cookies, nemůžete použít ani tento filtr
    • plané poplachy Nejsou. Velmi vzácně se může stát, že proxy server nebo anonymizer vrátí špatnou cookie. V takovém případě se prihlaste znovu.
  • Filtr UNIQUE_COOKIE : Tento filtr zasílá uživateli každý přístup jinou cookie a sleduje zdali se mu vrací správná.Pakliže se mu nevrátí cookie přesně ta, kterou zaslal minulý požadavek, obepře přístup
    • účinnost a spolehlivost filtru Filtr velmi účinný a nesnadný k prolomení. Podle rychlosti Vaší linky a proxy serverů, přse které provozujete připojení a podle požadované úrovně bezpečnosti nastavte číslo. 4ím větší číslo, tím je filtr tolerantnější k pomalým linkám a firewallům, způsobuje méně falešných poplachů, ale je méně bezpečný. Doporučuji nastavovat normálním uživatelům hodnotu "3" , lidem za pomalou linkou "6" a paranoikům "1" (ale připravit se na vysoký podíl falešných poplachů). Fungování filtru však narušují některé browsery a některá bezpečnostní doplňky a osobní firewally instalované na počítač (Proxomitron, AdMuncher atd) a také vypnutí cookies v browseru.. Konzultujte manuál k těmto bezpečnostním doplňkům a osobním firewallům, jak vypnout jejich působení pro server www.ds-life.cz.
    • kdy filtr nepoužívat Nechcete li,nebo nemůžete používat cookies, nemůžete použít ani tento filtr.
    • plané poplachy Jsou časté , ovivněné rychlostí síťového provozu, rychlostí či pomalostí Vašeho počítače etc,což je daň za vysokou ochranu kterou poskytuje.

V zájmu bezpečnosti používejte co největší množství filtrů, které můžete ! Další nastavení :

  • Ukončit logoutem session ? Nastavte ANO.
  • Vícenásobné přihlášení Zakázat. Povolit pouze v případě, kdy potřebujete být přihlášeni na jednu identitu z více různých počítačů zároveň . ( například, máte li počítač v obýváku a druhý v ložnici, můžete používat OBA na jeden nick)
  • Zakázat. Povolit pouze v případě, kdy potřebujete být přihlášeni na jednu identitu z více různých počítačů zároveň . ( například, máte li počítač v obýváku a druhý v ložnici, můžete používat OBA na jeden nick)

poznámka: Potřebujete li z jakéhokoliv důvodu mít z jednoho počítače přihlášeny DVA nicky, musíte vypnout filtr "cookie" a "unique_cookie". Toto bude odstraněno v příštích verzích systému.

Oznamování narušení

systém může posílat do Vaší osobní pošty zprávu, kdy došlo k narušení Vaší identity (pokus o neoprávněný přístup). Musíte nakonfigurovat jaké události Vám mají být hlášeny. Doporučuji nechat si hlásit vše (narušení bezpečnostních filtrů, neúspěšná i úspěšná přihlášení.). Doporučuji také nastavit úroveň bezpečnostní zprávy na co nejvyžší. údaje, kteréjsou Vám zaslány do pošty potom pomohou Vám případně zprávcům serveru útočníka dohledat a případně i podniknout adekvátní kroky.

Bezpečné popovídání v soukromí přeje autor softwaru NTPT.


Správce serveru upozorňuje, že zde uveřejněná díla podléhají ochraně autorských práv ve smyslu zákona č. 121/2000 Sb. Všechna práva autorů vyhrazena. Neautorizované použití díla bez souhlasu jeho autorů se zakazuje.

Chcete na www.ds-life.cz také publikovat své články ? Přečtěte si návod  

 
Pritomni :
NEZNAMY_4069 
[ 16.10.2024 - 07:30 ]
info
profil
přátelé
auditka
chat
texty

Status: OK
                    Administrace : Statistika : Psat redakci : Psat teamu  
Engine pracoval: 0.14011597633362 sekund sec.
You are NOT robot. Download restrictions not apply Output processing : 0.031198978424072 sekund
Vystupni komprese: gzip Size: 49008 bytes