+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: MyBB 1.8.x (https://www.mybb.de/forum/forum-87.html)
+--- Forum: Allgemeiner Support (https://www.mybb.de/forum/forum-88.html)
+--- Thema: Sicherheitsstandards Mybb (/thread-33358.html)
RE: Sicherheitsstandards Mybb - falcao1010 - 16.04.2016
(16.04.2016, 01:58)Farin schrieb: Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.
Das klingt interessant. Wie muss man das angehen?
Und noch eine Frage in dem Zusammenhang: Wie bewertet Ihr eigentlich die Sicherheit von phpmyadmin?
RE: Sicherheitsstandards Mybb - Farin - 16.04.2016
Das fügst du einfach in ganz oben in die .htaccess die im admin-Ordner (der sicher umbenannt wurde) folgendes hinzu.
PHP-Code:
# HTTPS-Verschluesselung erzwingen
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
# fuer alle Dateien
RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}
Was auch noch nützlich wäre ist, dass du für deine tägliche Arbeit im Forum nicht mit administrativen Rechten arbeitest. Sprich:
- für die Arbeit im Admin-CP benutzt du einen versteckten Account, der auch nicht in der Mitgliederliste aufgeführt wird und die Rechte des Super-Admins hat.
- für die tägliche Arbeit, Präsenz im Forum und der Freiheit jederzeit eingreifen zu können, gibst du dir die Rechte eines Super-Moderators mit dem Aussehen eines Admins.
RE: Sicherheitsstandards Mybb - MrBrechreiz - 16.04.2016
Du kannst auch ganz einfach deinem Admin Account die Anzeigegruppe eines normalen User Accounts geben, das hat dem gleichen Effekt.
RE: Sicherheitsstandards Mybb - Farin - 16.04.2016
Ja, aber wer die ganze Zeit schon mit seinem Admin-Account postet möchte wahrscheinlich auch als Admin-markiert im Forum Präsenz zeigen
Außerdem wird damit sicherheitstechnisch nichts unternommen, sondern nur kaschiert.
RE: Sicherheitsstandards Mybb - Falkenauge Mihawk - 24.04.2016
(16.04.2016, 01:58)Farin schrieb: Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.In wie fern soll das funktionieren? Für SSL/TLS braucht man zwingend ein Zertifikat. Man kann sich eins selbst signieren wenn man will. Man bekommt zwar eine Browser-Warnung, aber wenn man nur selbst auf das AdminCP zugreift, dann stört das nicht. Man könnte sich auch einfach eins von StartSSL oder Let's Encrypt holen.