Joomla + HTTPS БД

Тема в разделе "Проектирование", создана пользователем brunod, 29.10.2009.

?

Надёжна и безопасна ли Joomla1.5 для закрытых бизнес сайтов с БД?

  1. Безопасна

    5 голосов
    62.5%
  2. НЕ безопасна

    3 голосов
    37.5%
  1. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Нужно сделать сайт через который будут взаимодействовать несколько БД под Windows. Поскольку вопрос серьёзный - всё должно быть надёжно и хорошо защищено - чтобы те кому не предназначено не влезли в БД сайта. Поэтому выбор пал на доступ к БД сайта через протокол HTTPS.

    Вопрос - насколько надёжная Joomla CMS? Насколько безопасно использовать для закрытых коммерческих проектов с конфиденциальной информацией?

    Если ли лучший выбор CMS по параметрам безопасности?
     
  2.  
  3. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    brunod, если захотят сломать - сломают. Что угодно. Вопрос квалификации и времени. Если не использовать сторонних расширений, а Джумлу из коробки - то это хороший выбор. А если сделать сайт конфиденциальным, то может просто ставить защиту на уровне сервера, аутенфикации там всякие ;)
     
  4. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Привет, земляк!

    Расскажи, пожалуйста, подробнее про "всякие аутентификации"...

    Ты делал что-то подобное?
     
  5. Asylum
    Онлайн

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Некорректный вопрос. джумла не работает Mssql, если хотите работать с базами от Windows, то используйте его продукты, microsoft sharepoint например. Или как бесплатная альтернатива IBM Lotus Domino. Если вы действительно хотите использовать CМS для закрытых проектов, сделай три вещи. Свой сервер, внешний фаервол, адекватный администратор. А дыры находили даже в самой секьюрной (по заявлению разработчиков) TYPO3
     
  6. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Подробнее опишу...
    1. на сайте нужно хранить очень небольшое кол-во закрытой информации порядка 5 таблиц, скорее это типа рег-данных
    2. также нужно чтобы сайт стабильно работал 24/7 со всеми бекапами итп и чтобы не было гемора с сайтом
    по этом 2м пунктам и был выбран просто хороший хостер в Мск и хранение данных прямо на web-сервере хостера.
    3. доступ к этим данным должно получать только определённая программа под Windows (БД) - поэтому нужен https с сертификатом.

    Так насколько безопасна Joomla?
    Какие ещё фишки и функции защиты можно использовать?
     
  7. Asylum
    Онлайн

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    1. Существует брут и прочие межсайтовые скриптинги, например, на хостинге находится "дырявый" сайт (они там будут всегда). После чего взлом только вопрос времени.
    2. Если взломщик получит шелл, ему все ваши сертификаты "до лампочки"
    3. Собственный сервер имеет кучу вкусностей как IDS
    4. Затраты на безопасность должны соответствовать содержимому, может оно никому и не нужно. Или как пол бутылки коньяка в сейфе с охраной
    Что бы понять задачу, кратко опишите, чего вы там собираетесь хранить?
     
    Последнее редактирование: 29.10.2009
  8. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    brunod, Привет ;)
    Вот ссылка - http://htaccess.net.ru/doc/htaccess/auth.php - Самая действенная защита, если у Вас будет Ваш собственный сервер, правильно настроенный, то защита и вовсе... как стена :)
     
  9. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Asylum,
    1. Но у всех сайтов находящихся даже на одном хостинге разные логины и пароли к SQL... как Вы себе представляете взлом всех после одного?
    2. Эээ что за шелл? поясните, плиз :)
    3. Думаю на хороших хостингах это есть.
    4. Данные важные, но не критичные, если пропадут - то это скорее удар по репутации нежели по чему-то ещё + немного работы.

    Fanamura,
    Не, свой сервер на коллокейшн я всё же не хочу - тк это: а) дороже; б) хлопотнее если что надо самому ремонтировать и восстанавливать; в) а учитывая минимальную нагрузку (макс 100 запросов и 500Мб файлов в день) смысла в нём не вижу.

    Можешь вкратце объяснить плюсы htaccess? Он вместЕ или вместО SSL-httpS ?
    Закрывать папки? Эта функция на моём хостинге уже есть. Какие-то плюсы ещё?
     
  10. Asylum
    Онлайн

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    1. Читаем второй пункт
    2. Шелл позволяет читать все ваши разные пароли к базам, любые файлы и перемещаться по папкам.
    3. Хорошие (как и плохие) хостинги сканят по тысяче раз на дню, кроме того криворукие юзеры неправильно набирают пароли и прочее. Админ в этом случае потонет в куче логов. Поэтому они конечно есть, да не про вашу честь
    4. Ваши данные могут пропасть наверное, при падении метеорита в здание хостера, бэкап сейчас - норма жизни
    В общем насколько я понял у вас ничего сверхсекретного, моноблочный компьютер сейчас стоит порядка 5 т.р, правый IP около 50 рэ. Но этот вариант как я понял не подходит.
    Ну слушая любого хостера, помните аксиому 100 процентов защиты не существует, особенно на публичном хостинге
     
  11. zmxer
    Offline

    zmxer Недавно здесь

    Регистрация:
    30.08.2009
    Сообщения:
    77
    Симпатии:
    1
    Пол:
    Мужской
    Выделенный сервер+правильно сконфигурированный iptables(Для закрытия портов(если сервак на линуксе)+файрволл+хтаццесс+использование разных паролей+смена стандартного префикса Joomla в БД=Достаточно защищенный сервак. Еще я знавал таких людей, которые удаляли root юзера:D Только хрен ты потом доберешься до ОС:D
     
  12. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Asylum,
    2. Там постинги 2005-2007гг - думаю с тех пор у серьёзных хостеров все эти дырки для взломов закрыты.
    3. Есть у меня уже сайтов штук 10 - но на старой CMS моих знакомых (EresusCMS2.х) - ни один пока не взломали. Если не знать какой сайт так и вообще хрен найдёшь мне кажется.

    zmxer,
    Хостер у меня на мой взгляд самый серьёзный в Мск - думаю там всё сконфигурированно как следует. Расскажи вкратце про префикс к БД в Joomla - как он выглядит и на что менять надо?
     
  13. Gronpipmaster
    Offline

    Gronpipmaster специалист

    Регистрация:
    21.01.2009
    Сообщения:
    1 392
    Симпатии:
    62
    Пол:
    Мужской
    zmxer, жестко:) паранойя прямо
     
  14. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    паранойя - стандартное состояние серьёзного сисадмина... ;)
     
  15. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Уточните, пожалуйста, один момент:
    читая всякие там сравнения и литературу по теме HTTPS нашёл текст примерно такой:
    "одним из удобств Drupal в работе с HTTPS явялется возможность работы по защищённому протоколу также легко, как и по обычному - для этого не требуется никаких специальных модулей или кодинга, причём есть возможность разделить сайт на две части только http и только https" - в случае с Joomla как включается работа через HTTPS ? Какие действия? Насколько легко?
     
  16. Asylum
    Онлайн

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    В общем как один мой знакомый
    - Помоги компьютер поменять
    - Какая сумма
    - Мне сказали, что мне Макинтош нужен
    Вот и вам сказали что вам что то там нужно. HTTPS шифрует входящий/исходящий трафик от перехвата. Это можно видеть например при авторизации на gmail.
    Это так Неуловимый Джо?
    - Его никто поймать не может?
    - Да кому он на хрен нужен
     
  17. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Тем не менее - ответте на вопрос касательно простоты и прозрачности работы Joomla с https?
    В Drupal всё просто, а вот в каком-то, кажется TYPO3 не помню точно - совсем не просто.
    Так насколько просто с https в Joomla ? Https поддерживается на урвоне движка или надо что-то накручивать и настраивать?
     
  18. Asylum
    Онлайн

    Asylum специалист

    Регистрация:
    09.02.2007
    Сообщения:
    2 573
    Симпатии:
    152
    Пол:
    Мужской
    Точно так, хотя гораздо правильнее сделать на уровне хостера
     
  19. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    brunod, какой же это бизнес сайт, да еще и закрытый, если совсем нет бюджета?:)
    Я дал ссылку на закрытие директории под пароль через аутенфикацию апача.
     
  20. Offline

    brunod Недавно здесь

    Регистрация:
    29.10.2009
    Сообщения:
    12
    Симпатии:
    0
    Пол:
    Мужской
    Fanamura,
    Да, спасибо большое! htaccess - интересная и видимо серьёзная и надёжная фишка защиты.

    Но сейчас вопрос другой - при использовании Joomla насколько легко перевести часть сайта на httpS, а открытую часть оставить на http? Какие дейсвтия для этого требюуются?
     
  21. Fanamura
    Offline

    Fanamura Доброта

    Регистрация:
    12.03.2007
    Сообщения:
    5 108
    Симпатии:
    159
    Пол:
    Мужской
    brunod, советую просто почитать о сертефикатах https в инете для начала:)
     

Поделиться этой страницей

Загрузка...