Полный курс по безопасности и защите сайта смотрите тут: https://webformyself.com/category/premium/php-premium/security-premium/. пароли к сайту. хранение паролей. хранения паролей сайта. как хранить пароли. взлом. как взломать сайт. взлом сайта. взлом пароля. доступ к файлам сайта. security. взлом сайтов. passwords. безопасность. Безопасное хранение паролей. password manager. взлом. шифрование паролей. где хранить пароли. генератор паролей. password. защита сайта. безопасность сайта. подбор паролей. Взлом. хакнуть сайт. site hack. hackin. подобрать пароль
Как можно защитить директорию паролем с помощью файла htaccess.. Подписаться на канал: https://www.youtube.com/channel/UCGplxalKlXAJAKII8FJUziQ?sub_confirmation=1. Хостинг сайтов Шнайдер-хост: https://shneider-host.ru/. Статья в блоге: https://shneider-host.ru/blog/zaschita-direktorii-parolem-htpasswd-cherez-htaccess.html
Это видео — часть курса «Тестирование безопасности» https://www.learnqa.ru/security. Подпишитесь на канал, чтобы увидеть больше видео по тестированию.. Полную версию и другие курсы вы можете найти на сайте https://www.learnqa.ru/. Ручное тестирование мобильных приложений: https://www.learnqa.ru/manual. Автоматизатор мобильных приложений: https://www.learnqa.ru/java. Тестирование безопасности: https://www.learnqa.ru/security. Серия курсов “Инструменты тестировщика”. SQL: https://www.learnqa.ru/sql. Bash: https://www.learnqa.ru/bash. Git: https://www.learnqa.ru/git. ADB: https://www.learnqa.ru/adb. ChromeDevTools: https://www.learnqa.ru/devtools. Группа Вконтакте: https://vk.com/learnqa. Пообщаться с выпускниками в Телеграме: https://t.me/learnqa
Инструкция по установке пароля на HTML. Ссылки: Защита сайта редиректом: https://clck.ru/FX2S5. AeroTags HTML Password Protector: Оригинал: https://drive.google.com/open?id=1cQY0xqkSV54WKS3o1uvuXqrgiKjpbaSH. Подробно о защите сайтов при помощи htpasswd: https://clck.ru/FXFLT. htpasswd.exe. https://clck.ru/FXF39. Электронная почта канала: d-mega@lenta.ru. Сайт канала: http://bit.ly/win-sys. Windows Systems в соцсетях: https://meconnect.ru/windows_systems
Привет! В этом видео я расскажу как за 5 строк кода закрыть доступ к сайту или директории.. Спасибо за просмотр! Генератор пары логин/пароль: https://web-specialist.info/htpasswd-gen/. Статья: https://dev-postnov.ru/password-access-five-line-code/. Сообщество: https://vk.com/postnov_design. Сайт: https://dev-postnov.ru. Инстаграм: @devpostnov
Как часто Вы меняете свои #пароли? Где Вы их храните? Как часто Вы забывали свои пароли? В этом видео я покажу один вариантов организации хранения своих паролей. Речь пойдет о KeePass…. Добро пожаловать на мой канал, друзья! Здесь я делюсь информацией в разных областях жизни от технологий до путешествий! Надеюсь Вам понравиться! — Я вконтакте ► https://vk.com/artyom2503. Я в instagram► https://www.instagram.com/amatyashov/
Чтобы ваши пароли не были легкой добычей для троянов и мошенников, выполните рекомендации из этого видео.. Блог https://vizivik.ru. Дзен https://zen.yandex.ru/masterpc
Ну довольно сомнительно назвать этот способ «правильно хранить»))) кипас, если я не ошибаюсь софтина не Open Source и по факту вам не известно какие там алгоритмы шифрования применяются, вы можете просто слепо доверить словам разработчиков. По поводу «круто, что база хранится локально» тоже самое, вы видите только парольный файл у себя, а так как код программы закрыт, то например в фоне может происходить слив ваших паролей на сервера кипас или куда угодно…. Маленько параноидально конечно, но тем не менее такие моменты имеют место быть. Если серьезно подойти к выбору менеджера паролей, то это должно быть Open Source решение. Как вариант passwordstore.org, есть реализации под все платформы, код открыт, шифрование своими gpg ключами, браузерные аддоны, git синхронизация и все такое прочее) Ну или как вариант сервис bitwarden. Код открыт и все платформы… но особо не вникал в него, потому как пользую первый. Ну и выбирать DropBox в качестве места для синхронизации такое себе…. Им можно доверять файлы маловажные….парольные базы я бы туда не совал точно.
самая крутая идея заключается в том что бы использовать двойное шифрование. К примеру придумать для себя правило добавлять после каждого четвертого символа свою тайную букву или цифру. В этом случаи даже если кто-то завладеет файлом с паролями не сможет их использовать потому что он не будет знать вашего правила и там будут храниться не весь пароль.
https://keepassxc.org/ + browser plugin для Chromium и Friefox. Очень удобно не нужно копировать в ручную PW и все подхватывается на раз. Но у меня несколько баз/файлов с различной сложностью паролями для интернета & банков и других важных вещей.
Пользуюсь KeePass уже лет 10. Вот несколько отличительных моментов/советов: Это полностью бесплатно, я бы мог оплатить действительно годный софт, но у меня аллергия на «подписочную» модель подобных сервисов. Платить каждый месяц по 3-5$ (36-60$ в год), при том, что есть отличный бесплатный аналог, спасибо не надо. Нигде больше не используйте пароль, которым открываете базу. Важно чтобы пароль был просто набором символов, а не словом или датой вашего рождения). Постарайтесь создать один сложный пароль, как минимум на символов 12 и запомнить его. Для параноиков, помимо самого пароля можно еще задать файл-ключ (чтобы открыть базу нужно будет ввести пароль и прикрепить конкретный файл) Никакие другие пароли Вам больше запоминать не понадобится, а этим будете довольно часто открывать базу, поэтому запомните быстро. Базу контролируете только Вы, и ответственность за ее сохранность тоже на вас Забудете пароль от базы потеряете все данные внутри, без пароля взломать не возможно (в разумных переделах конечно) Храню базу с ключами в DropBox (ну и конечно бекапы еще в нескольких местах). В базе помимо связок логин-пароль можно хранить разную информацию и файлы. Я например храню все свои адреса на разных языках, банковские данные, данные паспорта, а так же сканы всех документов паспорт, инн, дипломы и т.д. Удобно, что всегда под рукой. На некоторых платформах есть возможность автоматического ввода данных (то-есть не нужно скопировать-вставить поочередно логин и пароль вручную, а нажать комбинацию, откроется окошко, выбираете логин, и потом его данные автоматически вводятся в поля, можно настраивать что именно вводить и что нажимать между полями (таб например)) Клиенты называются по-разному. Они, как правило, бесплатные, и не всегда разрабатываются конкретно создателями самого KeePass. Вот названия лучших клиентов что я использовал: * Android KeePassX * iOs очень долго искал вменяемый клиент, и таки нашел KeePassium (бесплатен, есть возможность докупить расширенные возможности, без которых вполне можно пользоваться), mini keepass упомянутый в видео очень глючный, не обновлялся сто лет. * macOs macPass шикарен, работает идеально, опенсорсный, использую с первого дня покупки мака. * Windows KeePass официальный клиент от создателей * Linux есть портированнная версия виндового клиента
Есть две серьезные уязвимости: 1. Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) опубликовал на GitHub бесплатную тулзу, названную KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удаленно). 2. Еще в феврале 2016 года исследователь Флориан Богнер (Florian Bogner) нашел уязвимость в менеджере паролей KeePass. Баг позволяет осуществить MitM-атаку на приложение, пока оно обновляется. Однако глава проекта KeePass отказался устранять баг, потому что тогда KeePass лишится доходов от рекламы, которые, видимо, важнее безопасности пользователей.
Есть очень крутая прога Resilio Sync, там идет синхронизация peer to peer между компьютерами/телефонами без мам, пап и облаков. Прога мультиплатформаенная и легко ставится на любую систему. С ее попомщью я перестал пользоваться любыми флешками, можно начать редактировать документ, сохранить/синхронизировать,и продолжить редактировать на другом. Соответственно и база keepass хранится в такой же папке, обновил пароль на компе, и через несколько сек на телефоне обновленная база, очень удобно. Рекомендую
Я бы рад пользоваться программой и делать пароли очень сложными, но будет очень неудобно, нужно например проверить почту или вк не на своём устройстве и всё, ступор, на память не введёшь, а с телефона перепечатывать такую длинную фигню то ещё удовольствие
Не совсем понял, а как php преобразует хэш обратно в текст? Или никак, просто пароль преобразуется и уже хэш храниться в базе как пароль? Тогда каким образом происходит напоминание пароля пользователю (remind password)?
Привет. Спасибо за видео. А можешь рассказать про доступ к файлам в облаке и их синхронизацию? Вот, у тебя кипассный файлик. Например, ты хочешь добавить пароль со смартфона. Ты выгружаешь его из облака локально в смартфон, редактируешь, а затем отправляешь обратно? Или это как-то автоматом происходит?
Есть планы запустить хакинтош, подскажи клиент под макос. Желательно ссылкой И пока не удалось запуститься на айфоне, базу храню на я.диске и она открывается только как чтение. minikeepass в сторе найти не получилось
Я тоже использовал раньше KeePass, но потом перешёл на Enpass. Enpass тоже кросплатформенная программа, но имеет ряд преимуществ: программа на всех устройствах одна и та же, синхронизация в личное облако (NextCloud), проверка пароля в Pwned, поддержка TOTP (двойная аутентификация) и многое другое. Есть только один недостаток. Начиная с версии Enpass 6 для мобильных устройств лицензия стоит дорого, но для ПК бесплатно.
Использую составные пароли. Одна часть пароля это общая для всех, содержит символы верхнего, нижнего регистра, цифры, спецсимволы. Эту часть знаю я и только я, как мастер пароль в этой программе. Другие части пароля это что-то связанное с сервисом, где этот пароль используется. В результате все пароли уникальные и не нужно все помнить наизусть.
Я пользуюсь LastPass. Как ты/вы говорил/и, есть проблема с безопасностью хранения ключей на сторонних сервисах, поэтому у меня в ней не хранятся данные банковских карт. А в остальном меня этот сервис вполне устраивает.
Будьте внимательны. Любое несоответствие кода в.htaccess или неправильный путь до файла приведут к ошибке «500 Internal Server Error». Если это произошло — сверяйте код в файле.htaccess
У меня выкидывало ошибку из-за отсутствия «/» в начале пути к файлу. /home/***/works/sneakers-html/folder/.htpasswd — вот так правильно home/***/works/sneakers-html/folder/.htpasswd — вот так ошибка
Подскажите пожалуйста: 1. Почему Кука name после инъекции не вывелась в случае безопасного логина? Ведь у нее этой галочки не было. 2. Не совсем понятно как код злоумышленника может попасть на мой сайт. Предположим у меня не экранируется ввод и эти инъекции злоумышленника обработаются. Как он узнает чужие куки?
Здравствуйте! Еще нужно добавить keyfile к базе данных, что бы базу паролей можно было открыть только с помощью keyfile + пароль! Keyfile пишешь на маленькую флешку и для сохранности сохраняешь в зашифрованном виде на облаке. После этого любое открытие базы данных паролей будет сопровождаться вставкой флешки. А для андроид keyfile кладешь на телефон (лучше на флешку что бы при смене телефона не забыв стереть файл с телефона), базу паролей локально на гугл, а дальше keepass2Android и базу паролей забираем с гугль диска (приложение позволяет) на телефоне ее не храним. И получается система для хранения паролей на телефоне, которая засихронизирована с гугл диском, а на буке файл с базой данных забираем с гугла при каждом обновлении.
Главное для себя всегда выбирать только одно направление для создания пароля, например «создаю только на телефоне!», или на «…компе!», что бы не было потока данных и от туда и от туда. Потому что при синхронизации есть вариант убить пароль, более новыми данными, если использовать создание на компе и создание на телефоне, при этом не синхронизировать базу паролей на всех источниках после каждого создания нового пароля.
Подскажите начинающему, если я ограничиваю доступ с помощью.htaccess, то у меня и скрипт не может работать с этим файлом и выдает ошибку 500. как такое может быть? а у вас в видео все прекрасно работает.
Все проще, использовать так сказать «алгоритмическое» хеширование, допустим: sha512(sha1(md5($pass)) результат такого хеширования в ни одной базе не будет. Так же эту функцию можно «нарастить мясом» sha512(sha1(md5($pass).sha512($pass)).sha1(md5($pass))).sha1(sha512(md5($pass)).sha1(md5($pass)).sha512($pass))) хоть до 100 хешей и в разной вариантности, такой пасс не взломать не кому, пока не узнаешь алгоритм этого хеширования.
Надежность базы паролей зависит только от пароля от базы,самый первый и самый главный пункт должен быть что открытый исходный!Что означает исходный код,не только что мы можем посмотреть на счет «закладок» так и то что софт пилиться сообществом. А как переносить базу кинуть ее в койнейнер к примеру в вере и в облако публичное или приватное, а уже на тел ставить свободные программы которые работают с верой и вуаля пароли сохранены даже в публичном облаке.
После переноса файлов в целевую директорию надо отредактировать путь к файлу.htpasswd в.htaccess. Если из примера, то надо добавить secret-files в путь. Чтобы было: **/**/secret-files /.htpasswd Иначе словите Internal Server Error
1. Есть ли какой-нибудь сервис или чек-лист для проверки все ли рекомендации по безопасности соблюдены? 2. Если функция php pasword_hash использует каждый раз случайную соль, то как потом происходит проверка пароля. Ведь в ручном варианте мы подставляли соль, а тут она даже неизвестна
Ну довольно сомнительно назвать этот способ «правильно хранить»))) кипас, если я не ошибаюсь софтина не Open Source и по факту вам не известно какие там алгоритмы шифрования применяются, вы можете просто слепо доверить словам разработчиков. По поводу «круто, что база хранится локально» тоже самое, вы видите только парольный файл у себя, а так как код программы закрыт, то например в фоне может происходить слив ваших паролей на сервера кипас или куда угодно…. Маленько параноидально конечно, но тем не менее такие моменты имеют место быть. Если серьезно подойти к выбору менеджера паролей, то это должно быть Open Source решение. Как вариант passwordstore.org, есть реализации под все платформы, код открыт, шифрование своими gpg ключами, браузерные аддоны, git синхронизация и все такое прочее) Ну или как вариант сервис bitwarden. Код открыт и все платформы… но особо не вникал в него, потому как пользую первый. Ну и выбирать DropBox в качестве места для синхронизации такое себе…. Им можно доверять файлы маловажные….парольные базы я бы туда не совал точно.
самая крутая идея заключается в том что бы использовать двойное шифрование. К примеру придумать для себя правило добавлять после каждого четвертого символа свою тайную букву или цифру. В этом случаи даже если кто-то завладеет файлом с паролями не сможет их использовать потому что он не будет знать вашего правила и там будут храниться не весь пароль.
https://keepassxc.org/ + browser plugin для Chromium и Friefox. Очень удобно не нужно копировать в ручную PW и все подхватывается на раз. Но у меня несколько баз/файлов с различной сложностью паролями для интернета & банков и других важных вещей.
Пользуюсь KeePass уже лет 10. Вот несколько отличительных моментов/советов:
Это полностью бесплатно, я бы мог оплатить действительно годный софт, но у меня аллергия на «подписочную» модель подобных сервисов. Платить каждый месяц по 3-5$ (36-60$ в год), при том, что есть отличный бесплатный аналог, спасибо не надо.
Нигде больше не используйте пароль, которым открываете базу.
Важно чтобы пароль был просто набором символов, а не словом или датой вашего рождения). Постарайтесь создать один сложный пароль, как минимум на символов 12 и запомнить его.
Для параноиков, помимо самого пароля можно еще задать файл-ключ (чтобы открыть базу нужно будет ввести пароль и прикрепить конкретный файл)
Никакие другие пароли Вам больше запоминать не понадобится, а этим будете довольно часто открывать базу, поэтому запомните быстро.
Базу контролируете только Вы, и ответственность за ее сохранность тоже на вас
Забудете пароль от базы потеряете все данные внутри, без пароля взломать не возможно (в разумных переделах конечно)
Храню базу с ключами в DropBox (ну и конечно бекапы еще в нескольких местах).
В базе помимо связок логин-пароль можно хранить разную информацию и файлы. Я например храню все свои адреса на разных языках, банковские данные, данные паспорта, а так же сканы всех документов паспорт, инн, дипломы и т.д. Удобно, что всегда под рукой.
На некоторых платформах есть возможность автоматического ввода данных (то-есть не нужно скопировать-вставить поочередно логин и пароль вручную, а нажать комбинацию, откроется окошко, выбираете логин, и потом его данные автоматически вводятся в поля, можно настраивать что именно вводить и что нажимать между полями (таб например))
Клиенты называются по-разному. Они, как правило, бесплатные, и не всегда разрабатываются конкретно создателями самого KeePass. Вот названия лучших клиентов что я использовал:
* Android KeePassX
* iOs очень долго искал вменяемый клиент, и таки нашел KeePassium (бесплатен, есть возможность докупить расширенные возможности, без которых вполне можно пользоваться), mini keepass упомянутый в видео очень глючный, не обновлялся сто лет.
* macOs macPass шикарен, работает идеально, опенсорсный, использую с первого дня покупки мака.
* Windows KeePass официальный клиент от создателей
* Linux есть портированнная версия виндового клиента
Есть две серьезные уязвимости:
1. Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) опубликовал на GitHub бесплатную тулзу, названную KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удаленно).
2.
Еще в феврале 2016 года исследователь Флориан Богнер (Florian Bogner) нашел уязвимость в менеджере паролей KeePass. Баг позволяет осуществить MitM-атаку на приложение, пока оно обновляется. Однако глава проекта KeePass отказался устранять баг, потому что тогда KeePass лишится доходов от рекламы, которые, видимо, важнее безопасности пользователей.
Есть очень крутая прога Resilio Sync, там идет синхронизация peer to peer между компьютерами/телефонами без мам, пап и облаков. Прога мультиплатформаенная и легко ставится на любую систему.
С ее попомщью я перестал пользоваться любыми флешками, можно начать редактировать документ, сохранить/синхронизировать,и продолжить редактировать на другом. Соответственно и база keepass хранится в такой же папке, обновил пароль на компе, и через несколько сек на телефоне обновленная база, очень удобно. Рекомендую
Я бы рад пользоваться программой и делать пароли очень сложными, но будет очень неудобно, нужно например проверить почту или вк не на своём устройстве и всё, ступор, на память не введёшь, а с телефона перепечатывать такую длинную фигню то ещё удовольствие
Не совсем понял, а как php преобразует хэш обратно в текст? Или никак, просто пароль преобразуется и уже хэш храниться в базе как пароль? Тогда каким образом происходит напоминание пароля пользователю (remind password)?
Привет. Спасибо за видео. А можешь рассказать про доступ к файлам в облаке и их синхронизацию? Вот, у тебя кипассный файлик. Например, ты хочешь добавить пароль со смартфона. Ты выгружаешь его из облака локально в смартфон, редактируешь, а затем отправляешь обратно? Или это как-то автоматом происходит?
Есть планы запустить хакинтош, подскажи клиент под макос. Желательно ссылкой
И пока не удалось запуститься на айфоне, базу храню на я.диске и она открывается только как чтение. minikeepass в сторе найти не получилось
Я тоже использовал раньше KeePass, но потом перешёл на Enpass. Enpass тоже кросплатформенная программа, но имеет ряд преимуществ: программа на всех устройствах одна и та же, синхронизация в личное облако (NextCloud), проверка пароля в Pwned, поддержка TOTP (двойная аутентификация) и многое другое. Есть только один недостаток. Начиная с версии Enpass 6 для мобильных устройств лицензия стоит дорого, но для ПК бесплатно.
Использую составные пароли. Одна часть пароля это общая для всех, содержит символы верхнего, нижнего регистра, цифры, спецсимволы. Эту часть знаю я и только я, как мастер пароль в этой программе. Другие части пароля это что-то связанное с сервисом, где этот пароль используется. В результате все пароли уникальные и не нужно все помнить наизусть.
Я пользуюсь LastPass. Как ты/вы говорил/и, есть проблема с безопасностью хранения ключей на сторонних сервисах, поэтому у меня в ней не хранятся данные банковских карт. А в остальном меня этот сервис вполне устраивает.
Будьте внимательны. Любое несоответствие кода в.htaccess или неправильный путь до файла приведут к ошибке «500 Internal Server Error».
Если это произошло — сверяйте код в файле.htaccess
У меня выкидывало ошибку из-за отсутствия «/» в начале пути к файлу.
/home/***/works/sneakers-html/folder/.htpasswd — вот так правильно
home/***/works/sneakers-html/folder/.htpasswd — вот так ошибка
Подскажите пожалуйста:
1. Почему Кука name после инъекции не вывелась в случае безопасного логина? Ведь у нее этой галочки не было.
2. Не совсем понятно как код злоумышленника может попасть на мой сайт. Предположим у меня не экранируется ввод и эти инъекции злоумышленника обработаются. Как он узнает чужие куки?
Здравствуйте!
Еще нужно добавить keyfile к базе данных, что бы базу паролей можно было открыть только с помощью keyfile + пароль!
Keyfile пишешь на маленькую флешку и для сохранности сохраняешь в зашифрованном виде на облаке.
После этого любое открытие базы данных паролей будет сопровождаться вставкой флешки.
А для андроид keyfile кладешь на телефон (лучше на флешку что бы при смене телефона не забыв стереть файл с телефона), базу паролей локально на гугл, а дальше keepass2Android и базу паролей забираем с гугль диска (приложение позволяет) на телефоне ее не храним.
И получается система для хранения паролей на телефоне, которая засихронизирована с гугл диском, а на буке файл с базой данных забираем с гугла при каждом обновлении.
Главное для себя всегда выбирать только одно направление для создания пароля, например «создаю только на телефоне!», или на «…компе!», что бы не было потока данных и от туда и от туда. Потому что при синхронизации есть вариант убить пароль, более новыми данными, если использовать создание на компе и создание на телефоне, при этом не синхронизировать базу паролей на всех источниках после каждого создания нового пароля.
Подскажите начинающему, если я ограничиваю доступ с помощью.htaccess, то у меня и скрипт не может работать с этим файлом и выдает ошибку 500. как такое может быть? а у вас в видео все прекрасно работает.
Все проще, использовать так сказать «алгоритмическое» хеширование, допустим: sha512(sha1(md5($pass)) результат такого хеширования в ни одной базе не будет. Так же эту функцию можно «нарастить мясом» sha512(sha1(md5($pass).sha512($pass)).sha1(md5($pass))).sha1(sha512(md5($pass)).sha1(md5($pass)).sha512($pass))) хоть до 100 хешей и в разной вариантности, такой пасс не взломать не кому, пока не узнаешь алгоритм этого хеширования.
Надежность базы паролей зависит только от пароля от базы,самый первый и самый главный пункт должен быть что открытый исходный!Что означает исходный код,не только что мы можем посмотреть на счет «закладок» так и то что софт пилиться сообществом. А как переносить базу кинуть ее в койнейнер к примеру в вере и в облако публичное или приватное, а уже на тел ставить свободные программы которые работают с верой и вуаля пароли сохранены даже в публичном облаке.
После переноса файлов в целевую директорию надо отредактировать путь к файлу.htpasswd в.htaccess. Если из примера, то надо добавить secret-files в путь. Чтобы было: **/**/secret-files /.htpasswd Иначе словите Internal Server Error
1. Есть ли какой-нибудь сервис или чек-лист для проверки все ли рекомендации по безопасности соблюдены?
2. Если функция php pasword_hash использует каждый раз случайную соль, то как потом происходит проверка пароля. Ведь в ручном варианте мы подставляли соль, а тут она даже неизвестна