Ponieważ nie znalazłem nigdzie na forum polskiego wsparcia Joomla! tego tematu (temat jest, nawet przyklejony - ale żadnych w nim konkretów) - zakladam nowy. O tematyce tejże, gdyż tamten zdaje się odbiegł od pierwotnej tematyki.

Temat raczej powinien być uzupełniany przez umyślnych od bezpieczeństwa Joomla! w Polsce więc domniemam, że żadnych problemów nie będzie.

Zatem - proszę o wklejenie aktualnego pliku .htaccess jakim zabezpieczona winna być Joomla! (dla kogoś kto śledzi to na bierząco, nie powinno być problemu) oraz jego aktualizację w trybie ciągłym. Najbardziej rozchodzi się tu o wpisy po regule :


deny from

Rozumiem, że nie jest to żadna tajemnica wagi państwowej a i posunięcie ze strony budowniczych społeczności tejże jak najbardziej wskazane.

Z góry prosba o nie odsyłanie do podobnych tematów na stronie forum.joomla.org, centrów pomocy J! w ktrych nie ma informacji na ten temat poza podst. konfiguracją pliku .htaccess i podobnych stron. Jak również do tematów zakończonych w roku 2006. Prośba również do Zwiastuna o nie pisanie prelekcji oraz o nie typowanie do tego nikogo z administratorów, moderatorów i innych 'wielkich' tego przedsięwzięcia.

Przyda się to wszystkim. Za uwagę dziękuję.

Icek Klezmer

Kurcze... chcialbym Ci pomoc, ale skoro administratorzy mieli sie nie odzywac... :D

Dylek ja wiem, że jesteś od śledzenia zabezpieczeń. Natomiast cytowany [domyślnie przez Ciebie mój wpis] dotyczy się prelekcji mających na celu odesłać gdzieś .... out there ... co nie jest głównym celem założenia tego postu.

Poza tym to nie tak bardzo mnie a chyba ... nam ;) co ?

Edit

Dostałem taką informację w punktach rep.

Cytat : "Trolling"

Za Wikipedią - Wolną Encyklopedią

"Trollowanie (trolling) – antyspołeczne zachowanie charakterystyczne dla for dyskusyjnych i innych miejsc w internecie, w których prowadzi się dyskusje.

Trollowanie polega na zamierzonym wpływaniu na innych użytkowników w celu ich ośmieszenia lub obrażenia (czego następstwem jest wywołanie kłótni) poprzez wysyłanie napastliwych, kontrowersyjnych, często nieprawdziwych przekazów czy też poprzez stosowanie różnego typu zabiegów erystycznych. Podstawą tego działania jest upublicznianie tego typu wiadomości jako przynęty[1], która doprowadzić mogłaby do wywołania dyskusji.

Typowe miejsca działania trolli to grupy i listy dyskusyjne, fora internetowe, czaty itp. Trollowanie jest złamaniem jednej z podstawowych zasad netykiety. Jego efektem jest dezorganizacja danego miejsca w internecie[2], w którym prowadzi się dyskusję i skupienie uwagi na trollującej osobie."

Najwyraźniej dla kogoś z grona administratorów zapytanie o kwestie związane z bezp. Joomla! jest czymś tak bezczelnym że aż należy walić po życiorysie.

Bardzo proszę - tylko że wizerunek Joomla! to nie tylko to hermetyczne forum ale również inne media - w których wymieniane są poglądy na temat społeczności.

To ciekawy temat na nowe opracowanie. Baa nawet zacznę chyba opisywać podając przykłady. W ciągu 30 min mojej obecności tu zdałem jedno pytanie i udzieliłem jednej obszernej odpowiedzi pomocy za co dostałem -6 punktów reputacji.

Słynna pomoc Joomla! ?

Zwracam się do Użytkowników i Członków Społęczności Joomla! - czy zapytanie o Krytyczne Sprawy Bezpieczeństwa Waszych Serwisów Opartych o Joomla! jest Trollingiem - Jak Zostało Ono Potraktowane Przez Administratorów tego Forum ??

Proszę o Dyskusję na ten temat.

Pozdrawiam

Icek Klezmer

Z góry prosba o nie odsyłanie do podobnych tematów na stronie forum.joomla.org, centrów pomocy J! w ktrych nie ma informacji na ten temat poza podst. konfiguracją pliku .htaccess i podobnych stron. Jak również do tematów zakończonych w roku 2006. Prośba również do Zwiastuna o nie pisanie prelekcji oraz o nie typowanie do tego nikogo z administratorów, moderatorów i innych 'wielkich' tego przedsięwzięcia.

Icek Klezmer
Skoro wywołujesz sprawę publicznie:
Powyżej cytat z Twojej pierwszej wypowiedzi.
W innym miejscu zaczepny adres do inkosa.
Poczytaj raz jeszcze, co to trolling.

i co masz do tego cytatu - nawet nie zrozumialeś co w nim napisałem

a). walnałes 2 razy po repach a ja niesłusznie dałem go Dylkowi - Przepraszam Dylek - sądziłem że to rozmowa między nami.
b). strzeliłes mi swoją prelekcje w wiadomościach prywatnych.
c). bronisz się rozpaczliwcem tutaj.

Jeśli nie potrafisz zrozumieć zwykłych słów - może czas na "emeryture" ? Bo z mojego postu nie zrozumiełeś NIC.

PS.


W innym miejscu zaczepny adres do inkosa Następnym razem jak zechcesz coś komuś przekazać, bądź łaskaw podpisać się swoim nickiem podczas dawania reputacji, bo można sobie to różnie interpretować. Potem powstają niesłuszne działania ze strony pokrzywdzonych. Miej odwagę powiedzieć - To ja Zwiastun !

Chcesz żeby stosowano się do Netykiety - daj przykład sam. Bo póki co złamałeś ją częściej niż ja na tym forum.

Inkos'a też publicznie przepraszam.

Czy możemy już wrócić do tematu postu ?

Dylek - jesteś w stanie udzielić takiej informacji i aktualizować to na bierząco czy raczej jest to awykonalne ?

Pytam jak użytkownik nie jak Troll... w sumie temat jest szeroki i przydatny każdemu.

To dosc obszerny temat, ktorego niektore aspekty wykraczaja poza tematyke tego forum. Co do zabezpieczania samej Joomli - forum nie wyczerpie tematu, tu potrzebne jest szersze opisanie tematu na kilku stronach A4 :)

Poza tym (co jest najgorsze), pokusilbym sie o stwierdzenie, ze z 80% ludzi instalujacych Joomle nie zadalo sobie trudu zeby poczytac o bezpieczenstwie, chocby w przetlumaczonym kiedys przeze mnie artykule "10 najglupszych trickow administratora Joomli (http://www.joomlapl.com/content/view/238/26/)", gdzie jest odnosnik do najszerzej chyba w necie opisanych spraw zwiazanych z bezpieczenstwiem Joomli (poki co po angielsku).

Na pomoc.joomla.pl (http://www.pomoc.joomla.pl/index.php?option=com_search&Itemid=5&searchword=bezpiecze%C5%84stwo&submit=Szukaj&searchphrase=exact&ordering=newest) tez jest ten temat poruszany, a sama sprawa pliku .htaccess moim zdaniem ma tu najmniejsze znaczenie.

Nie, nie, Dylek. My się nie zrozumieliśmy.

Chodzi mnie konkretnie o uaktualnienie wpisów z IP. Ja nie wymagam podawania wszystkich reguł dla apache'a. Chodzi tylko i wyłacznie o przedstawienie listy na dziś dzień Blokowanych IP, których używacie na joomla.pl i uaktualnianie ich na bierząco. I tylko tyle a może nie tylko a aż tyle. Jednak pomocne.

Oczywiście zgadzam się że reszta wybiega poza i raczej szuakać ich na forach apache'a.

Mam nadzieję, ze teraz bardziej zarysowałem w ramach konkretnych oczekiwań.


Na pomoc.joomla.pl tez jest ten temat poruszany, a sama sprawa pliku .htaccess moim zdaniem ma tu najmniejsze znaczenie.

Nie zgodzę się, bo przecież czymże innym jak nie plikiem .htaccess można zablokowac dostep do folderu administratora ? oczywiście wg. tej samej reguły ale innego jej zapisu. Ale nie o tym my teraz. To samo można by powiedzieć o wielopoziomowym [2] zabezpieczeniu hasłem. Można też w końcu kupować zapory. Tylko po co wtedy .htaccess ?

Dlatego nie tylko moim zdaniem plik .htaccess ma znaczenie krytyczne.

Konkretem zapytania jest raczej odepchnięcie całkowite niebezpiecznych połaczeń do systemu, stąd zapytanie o aktualne IP i domeny.

Jesli miałeś na celu test - proszę - mam nadzieję, że wyjaśniłem o co mnie chodzi :)

Tak jak wspomniałem to nie tylko dla mnie. Ty jesteś na bierząco więc Tobie łatwiej niż innym wpisać, bo wiesz gdzie się w poszukiwaniu konkretnych domen czy ip poruszać.

Uzupełniając Twoje spostrzeżenia, dorzucam link:

http://forum.joomla.pl/showthread.php?t=4089

i w tenże sposób wyczerpaliśmy chyba WSZYSTKIE wzmianki na ten temat w PCJ! - co jednak nie jest odpowiedzią na ten konkrtny post.

Jeśli z jakiegoś powodu nie chcesz - po prostu napisz :)

Pozdrawiam

Icek Klezmer

Na joomla.pl nie stosujemy tego typu blokad.

Ale Dylek jako osoba odpowiedzialna za bezpieczeństwo, zapewne posiada niezbędne informacje o które zaistniało zapytanie.

1. A gdzie to przeczytałeś, że dylek jest osobą odpowiedzialną za bezpieczeństwo. Po prostu interesuje się tym zagadnieniem. I to wszystko.
2. Nie prowadzimy listy czy list adresów, z których dokonywane są ataki.
3. Informacja, że na joomla.pl nie korzystamy z tego typu blokad w połączeniu z tym, co napisał wcześniej znający się na rzeczy dylek, że "sprawa pliku .htaccess ... ma tu najmniejsze znaczenie" jest dość jasna - nie jest prawdziwe twierdzenie, że "plik .htaccess" ma tu znaczenie krytyczne". Co najwyżej pomocnicze!

Ale ja pytałem Dylka. Nie staraj się na siłę być jego rzecznikiem. Nie dam sobie uciać głowy ale chyba Dylek nie upoważnił Ciebie do świadczenia tego typu usług.

W celu wyjasnienia


1. A gdzie to przeczytałeś, że dylek jest osobą odpowiedzialną za bezpieczeństwo. Po prostu interesuje się tym zagadnieniem. I to wszystko.

Faktycznie, może źle ująlem stwiedzenie. Znalałem to w jednym z Twoich postów na tym Forum. To jakby Twoje słowa w Twoim post'cie.

Zatem oczekuję rozmowy w konkretnym kierunku z zainteresowanymi osobami. Jak słusznie zauważyłeś, staram się nie błądzić tylko ukierunkowywać zaptatania w stronę konkretnych osób - co jest jakby wypełnieniem zasad regulaminowych, które zapisałeś na swoim Forum.

Zwróć zatem uwagę na to w jaki sposób je kieruję i bardzo proszę raz jeszcze o nie odpychanie na bok głównego tematu wątku. To nieregulaminowe i pełne nieposzanowania Netykiety. Trolling.

Pozdrawiam

Icek Klezmer

Dokladnie mialem na mysli to, co pisal Zwiastun - w bezpieczenstwie Joomli .htaccess ma poboczne znaczenie.
Jesli chodzilo Ci o wpisy typu deny w tym pliku - odpusc, Apache nie lyknie tak duzego pliku .htaccess, w ktorym zmieszcza sie wszystkie IP'ki :)
Postaw na aktualizacje Joomli i WSZYSTKICH skladnikow dodatkowych - to przez nie, a raczej dzieki nim nastepuja wlamy. Nie zapomnij tez o pewnym hostingu.

ja te WSZYSTKIE mam raczej komercyjne poza Joomla! i CB [jednak najprawdopodobniej już w lecie z tego co ostatnio dowiedziałem się z korespondencji, aktualizacja Komponentu JoomSuite pozwoli użytkownikowi serwisu zakladać własne profile, co najprawdopodobniej CB pogrzebie. Z kilu powodów - lepsza optymalizacja skryptu, mniej zapytań do BD, działanie na J! 1.5.x i można by wiele o tym tylko to nie miejsce] - co jest rzeczą oczywistą. Korzystam z Hostingu dedykowanego więc cały serwer mam dla siebie. Ja nie mówie o wszystkich IP i domenach tylko o tych najczęściej wykorzystywanych do włamów.

Tak jak mówie, problem nie dotyka mnie bezpośrednio ale również wszystkich użytkowników no, chyba że o ich stronach nie wie żadna wyszukiwarka tylko ich rodzina i najbliższe otoczenie.

Kiedyś taki temat został rozpoczęty - jednak szybko zdechł.

Uważam, że dobrze byłobygo reaktywować.

Ja rozumiem, że najlepiej jest w folderze admina zrobić zapis



Deny from all
Allow from 127.0.0.1 - gdzie 127.0.0.1 jest IP naszego routera lub proxy [kiedy dostep ze statycznego niemozliwy a jedynie z ADSL] i do tego dodatkowy poziom zabezpieczenia hasłem albo zrobić przekierowanie na stronę błędu - w przypadku nieautoryzowanych wdzwonień.

Ja zdaję sobie również sprawę z tego, że temat powinien zostać podniesiony na forum apache'a albo php - jednak joomla! perpetum mobile nie jest i korzysta własnie z tego serwera i tych języków. To gdzieżby indziej jak nie tu, jeśli to własnie o Joomla! temat i jego bezpieczeństwa.

Jednak nie wie tego każdy. Nikt też jakoś jawnie nie podnosi tematu.

Pozdrawiam

Icek Klezmer