Много статей не имеет срока устаревания. Есть смысл смотреть и 2011, и даже 2008 год. Политика сайта: написать статью, а потом обновлять ее много лет.
Открыта карта ВТБ для материальной поддержки сайта: 4893470220568296.

Рекламодателям! Перестаньте спамить мне на почту с предложениями о размещении рекламы на этом сайте. Я никогда спамером/рекламщиком не был и не буду!
" title="Написать письмо">Написать письмо

Статистика

Пользователи : 1
Статьи : 1250
Просмотры материалов : 4608906
 
Методы защиты информации вашего сайта (23.06.2011). Печать E-mail
2011 - Июнь
23.06.2011 12:32
Save & Share

Потихоньку, по крупицам, я повышал безопасность собственного сайта, а также защиту копирайта. Многого я уже не упомню, т.к. действий было совершено великое множество и в разное время; но что запомнилось - расскажу.

Начну с защиты копирайта, т.к. это наиболее свежо. Методы работают в одних браузерах и не работают в других; но их совокупность меня вполне устраивает.

Защита от копирования:
Если в тег <BODY> вписать данные параметры и использовать JS-функцию, нельзя будет скопировать содержимое страницы в буфер обмена. Работает в IE, копирование ссылок сайта остается работоспособным.

<BODY ondragstart="notmenu();" oncopy="notmenu();">

<SCRIPT LANGUAGE="JavaScript">
var message="Copying is forbidden. Have conscience. Copy the reference to article.";
function notmenu()
{
 window.event.returnValue=false;
 alert(message);
}
</SCRIPT>

Если зайти в CSS вашего сайта и вписать в HTML{} или BODY{} указанные строки - в Mozilla и Google Chrome будет отключена возможность выделять любой текст:
-moz-user-select: none;
-khtml-user-select: none;
user-select: none;
Копирование ссылок сайта остается работоспособным.

Спастись от кнопки "просмотр HTML-кода" возможно только полностью отрубив контекстное меню в теге BODY параметром ; но вы лишаете пользователя гибкости в работе, он даже ссылку скопировать с сайта не сможет. А я придумал способ-прикол. Прикол вы можете заметить, просмотрев HTML-код данной страницы. Я не смог сделать комментарий в самом начале кода по техническим причинам, но это возможно:

function copyright_content()
{
echo "<!--\n";
echo "Уважаемый пользователь. Если вы пришли сюда воровать мой контент - то вы (хрю)...\nЗдесь нет его, идите с миром. )))";
echo "\n 1000 раз"; //НЕ ИСПОЛЬЗУЙТЕ ЦИКЛЫ, ПИШИТЕ ЯВНО!
echo "Идите с миром, говорю... )";
echo "-->\n";
}

Теперь о вашем файле .htaccess. Если вы вставите заданный код - вы запретите открывать файлы заданного типа с других сайтов, кроме вашего. Это уменьшит трафик вашего сервера:

//Стандартная фигня для включения механизма преобразования ссылок.
RewriteEngine on

//Дословно: если этой строки нет, то если на чужом сайте размещается прямая ссылка на картинку - при открытии сработает copyright.jpg (а если эту страницу обновить - то картинка откроется, т.к. запрос, считай, идет с родного сайта. Если эта строка есть - то при прямой ссылке на файл - файл откроется.
RewriteCond %{HTTP_REFERER} !^$

//Если не с какого-либо поддомена происходит запрос.
RewriteCond %{HTTP_REFERER} !^http://(www\.)?(.*)\.bad-good\.ru/.*$ [NC]

//И не с самого домена происходит запрос.
RewriteCond %{HTTP_REFERER} !^http://(www\.)?bad-good\.ru/.*$ [NC]

//Послать пользователя в баню.
RewriteRule (jpg|gif|png|css|mp4|flv) /copyright.jpg


Тестирование этого момента очень глючное. Требуется неукоснительное выполнение условия: если посмотрели хоть 1 ссылку - очищайте кэш браузера и обязательно закройте его. При этом не должно быть открыто каких-либо браузеров в других окнах.

Защита от взлома:

Первое - это, конечно, настройка файла .ftpaccess по SSH, чтобы никто кроме вас не смог зайти на FTP вашей виртуальной площадки. Особенно это просто, когда у вас внешний IP, или IP сервера вашего провайдера статичен:

<Limit ALL>
Allow from 127.0.0.1
Deny from all
</Limit>

Конечно же, усложнение логинов и паролей на FTP, PhpMyAdmin (MySQL), админку сайта, панель управления хостера и т.д. Смена паролей не обязательна, достаточно раз в полгода или вообще не менять. НО. Если есть вероятность, что вас уже взломали, хоть малейшая - меняете все пароли в тот же час.

Ограничение HTTP доступа к системным ресурсам, когда перед тем как загрузить файл в браузер - спрашивается придуманные вами логин и пароль (обязательно сделайте этот пункт для своей админки!). Делается это через .htaccess и при помощи программы htpasswd.exe:
http://www.bad-good.ru/attach/archives/htpasswd.zip (34КБ);

AuthType basic
AuthName 'NEED AUTORIZATION'
AuthUserFile 'password.htpasswd'
Require valid-user
DirectoryIndex index.php

Написание данного кода в .htaccess поможет вам защитить определенные файлы от изменения злоумышленником:

<files configuration.php>
order allow,deny
deny from all
</files>

Этот код защищает от каких-то вредоносных запросов, уже не помню от каких:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Данный код в robots.txt запрещает поисковикам индексировать директории на ваш выбор:

User-agent: *
Disallow: /installation/
Disallow: /language/

Если вы хорошо разбираетесь с SSH - вы можете вообще отказаться от FTP.

(добавлено 24.02.2014): вместо внешнего IP можно спросить у провайдера диапазон IP серверов, которые обеспечивают лично вам доступ в интернет. В итоге в файл .ftpaccess будет записан диапазон IP вида 192.168.0.0/28.

Обновлено ( 24.02.2014 22:28 )
 
 

Последние новости


©2008-2019. All Rights Reserved. Разработчик - " title="Сергей Белов">Сергей Белов. Материалы сайта предоставляются по принципу "как есть". Автор не несет никакой ответственности и не гарантирует отсутствие неправильных сведений и ошибок. Вся ответственность за использование материалов лежит полностью на читателях. Размещение материалов данного сайта на иных сайтах запрещено без указания активной ссылки на данный сайт-первоисточник (ГК РФ: ст.1259 п.1 + ст.1274 п.1-3).