Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
Sicherheitsstandards Mybb
#21
(16.04.2016, 01:58)Farin schrieb: Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.

Das klingt interessant. Wie muss man das angehen?

Und noch eine Frage in dem Zusammenhang: Wie bewertet Ihr eigentlich die Sicherheit von phpmyadmin?
Zitieren
#22
Das fügst du einfach in ganz oben in die .htaccess die im admin-Ordner (der sicher umbenannt wurde) folgendes hinzu.
PHP-Code:
# HTTPS-Verschluesselung erzwingen
RewriteEngine On

RewriteCond 
%{SERVER_PORT}     !^443$
 
# fuer alle Dateien
RewriteRule (.*)  https://%{SERVER_NAME}%{REQUEST_URI} 

Was auch noch nützlich wäre ist, dass du für deine tägliche Arbeit im Forum nicht mit administrativen Rechten arbeitest. Sprich:
- für die Arbeit im Admin-CP benutzt du einen versteckten Account, der auch nicht in der Mitgliederliste aufgeführt wird und die Rechte des Super-Admins hat.
- für die tägliche Arbeit, Präsenz im Forum und der Freiheit jederzeit eingreifen zu können, gibst du dir die Rechte eines Super-Moderators mit dem Aussehen eines Admins.
Zitieren
#23
Du kannst auch ganz einfach deinem Admin Account die Anzeigegruppe eines normalen User Accounts geben, das hat dem gleichen Effekt.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#24
Ja, aber wer die ganze Zeit schon mit seinem Admin-Account postet möchte wahrscheinlich auch als Admin-markiert im Forum Präsenz zeigen Wink

Außerdem wird damit sicherheitstechnisch nichts unternommen, sondern nur kaschiert.
Zitieren
#25
(16.04.2016, 01:58)Farin schrieb: Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.
In wie fern soll das funktionieren? Für SSL/TLS braucht man zwingend ein Zertifikat. Man kann sich eins selbst signieren wenn man will. Man bekommt zwar eine Browser-Warnung, aber wenn man nur selbst auf das AdminCP zugreift, dann stört das nicht. Man könnte sich auch einfach eins von StartSSL oder Let's Encrypt holen.
Zitieren