Để chế độ gửi nhận mail trong Joomla có an toàn không?

Thảo luận trong 'Joomla! Security' bắt đầu bởi dangmien, 23/11/11.

  1. dangmien

    dangmien Active Member

    Vì chưa có box Joomla Security nên mình post bài vô mục này,nếu mod or admin thấy chưa phù hợp thì move đến box nào phù hợp giúp mình nhé.

    Joomla Security part 1:

    Để chế độ gửi nhận mail trong Joomla có an toàn không?

    -Thông thường,để việc contact giữa khách hàng với admin or sale... của site được thuận tiện thì chúng ta thường cài đặt thêm chế độ gửi email trong Joomla.
    -Giả sử một người nào đó có được tài khoản admin của bạn(site không để mã hóa username|password khi đăng nhập,site dính shell,server bị tấn công,password admin bị mất do social engineering,keylog.....).
    -Khi họ đã đăng nhập được vào giao diện admin,ta biết rằng trong phần cấu hình mail cho joomla thì password ở dạng "******",tuy nhiên chỉ cần một số adon của firefox or google chrome như firebug,webdeveloper thì hoàn toàn có thể show được password ở dạng clear text.
    -Việc mất Email sẽ dẫn đến những hiểm họa khó lường(phạm trù này rất rộng nên mình sẽ post trong những bài sau).
    -Vậy chúng ta có giải pháp nào để hạn chế việc xảy ra việc lộ username và password email trong phần cấu hình mail cho joomla(mình chỉ nói đến góc độ nhỏ này thôi,vì Security Joomla cần có giải pháp cho nó phải vừa tổng thể và vừa chi tiết cho từng chỉ mục cụ thể).

    Nếu là admin của site,bạn sẽ làm gì cấu hình email trong joomla được an toàn?

    Rất mong sự trao đổi và thảo luận của mọi người.

    Thân!
    dinhchi_vfu, neehelLê Xuân Thành thích bài này.
  2. VN.Classic

    VN.Classic Thành viên mới

    99% hoàn toàn có thể lấy được pass mail của admin, thử nghĩ xem trong file config đã để lộ quá rõ ràng khi upload lên server. pass không thể mã hóa md5 được.
    1% còn lại là các server có bảo mật cho khách hàng là chúng ta không thôi.
    dangmienneehel thích bài này.
  3. VN.Classic

    VN.Classic Thành viên mới

    Diễn đàn là nơi trao đổi kinh, chia sẻ kinh nghiệm sao mình thấy các bạn lại thích bấm thank mà không comment gì hết vậy nhỉ :d
  4. neehel

    neehel Thành viên

    Cũng dễ hiểu thôi mà. Click 1 phát nhanh hơn nhiêu comment: Cám ơn bạn nhé, bài viết rất hay .... Còn nếu người nào có ý kiến, có kinh nghiệm gì chia sẽ, thì họ comment thôi. Đúng không nào?
  5. Lê Xuân Thành

    Lê Xuân Thành Staff Member

    Có yêu cầu nào bắt buộc không nhỉ?
    Mình thấy bài hửu ích nên thanks, còn vấn đề đó mình chưa hiểu rỏ nên cũng không thể comment đc, chỉ đọc và thử nghiệm thôi.


    .
  6. VN.Classic

    VN.Classic Thành viên mới

    Hiện nay chỉ còn cách là di chuyển file config này tới thư mục khác<== vấn đề này vẫn chưa ổn
    Mình đã sử dụng zend nhưng vẫn không ổn lắm
  7. dangmien

    dangmien Active Member

    Nếu như file config lộ rõ hết thông tin như thế thì ta phải nên làm thế nào để bảo vệ file config ?

    Tiếp tục nào....!
  8. Miso

    Miso Well-Known Member

    Moved to new box: Joomla Security.

    Cái này là cái quan trọng nhất thì lại giả sử như đã xảy ra.

    Mình nghĩ việc bảo mật 1 website, cũng như bảo mật email hay các hoạt động trên Internet không thể phụ thuộc vào 1 phương pháp cố định, bởi ko chỉ riêng chúng ta mà hacker cũng sẽ biết phương pháp đó, luôn là như vậy.

    Đúng như bạn nói, khi đã vào được Admin Joomla thì password sẽ show ra hết, và dường như vẫn chưa có giải pháp nào để chống đỡ ở cấp độ này.

    Ta chỉ có thể giữ cho acc admin không bị lộ, rồi chặn quyền truy cập vào thư mục administrator (đặt pass trong .htaccess), thay đổi username admin mặc định...

    Ngoài ra, có thể chuyển file configuration.php ra ngoài thư mục gốc (VD: public_html) để tránh truy cập tấn công. Tuy nhiên mỗi khi save cấu hình trong Global Configuration thì cần phải làm thủ công một chút.

    Bạn nào có các cách khác thì bàn luận thêm. Vấn đề này thực sự cần quan tâm.
    dinhchi_vfudangmien thích bài này.
  9. dangmien

    dangmien Active Member

    Cảm ơn bạn VN.Classic and Miso,bài viết của các bạn đã nêu khá tổng quát cách bảo vệ file cấu hình cũng như các file khác trong hệ thống.Tuy nhiên cũng rất sự chi tiết một chút về các phương pháp mà bạn đưa ra.Có thể coi như một bài hướng dẫn về bảo mật cho website,và các bạn trong diễn đàn có thể theo đó mà áp dụng thì sẽ tốt hơn.

    Mình xin mở rộng vấn đề một chút là : Tại sao chúng ta lại để mất pass admin?

    Có thể là do dính shell chẳng hạn-> vậy làm cách nào để tránh dính shell.
    Có thể các file cấu hình chưa được phân quyền chặt chẽ->giải pháp->cách thực hiện.
    Bạn đang đứng trên một server không an toàn->phương pháp test->giải pháp thực hiện.
    Bạn đang sử dụng một máy tính ||mạng máy tính không an toàn khi đăng nhập quản trị admin->giải pháp->cách thực hiện.
    Thói quen đặt pass-> phương pháp->cách giải quyết.(social engeneering ... )
    .............................
    Rất mong các bạn cùng trao đổi và đưa ra một tiêu chí gồm các mục tiêu cơ bản nhất và chung nhất để đảm bảo an toàn cho một website.

    /PS: Mình nghĩ các bạn tham gia diễn đàn Joomlaviet thì có rất nhiều bạn đã-đang-sẽ làm việc quản trị website.Vấn đề đảm bảo an toàn cho website là rất quan trọng cho công việc của mỗi chúng ta.

    Thân!
  10. Ricky1990

    Ricky1990 Thành viên mới

    1. Để tránh dính Shell : Tự code .
    2. Các file cấu hình chưa được phân quyền chặt chẽ là như thế nào ? Tớ nghĩ hệ thống Joomla đủ chặt chẽ rồi.

    3. Nếu đang đứng trên 1 server không an toàn thì test thế nào ? - Nếu không có quyền quản trị server thì hack thử server để biết nó có an toàn hay ko ? Việc này chẳng khác gì bạn xây nhà trên 1 mảnh đất mà lo lắng có động đất xảy ra => Mua máy đo về đo xem hay là làm thế nào để biết động đất xảy ra khi nào..... <== Đây là việc của những người có chuyên môn, không phải việc của chúng ta. ( Ở đây tớ nói lập trình viên thuần túy - coder or designer - ko tính những bác nghiên cứu về server, hack....)

    4. Đang sử dụng 1 mạng máy tính ? làm thế nào biết mạng này ko an toàn và không an toàn đến mức độ nào ? Câu hỏi này chắc lập trình viên đơn thuần ko trả lời được.

    5. Thói quen đặt pass : Tránh những pass dạng số cơ bản : 123; 123456; ....ngày tháng năm sinh của bạn, số điện thoại ...., dạng mặc định : admin. Còn lại pass nào mà chả an toàn. Giả sử tớ đặt pass là : anhyeuem <== Theo cậu có an toàn ko ? Cá nhân tớ nghĩ : cụm từ "anhyeuem" rất phổ biến, nhưng bỗng nhiên nghĩ ra nó là pass của 1 acc nào đó thì....chắc mò kim đáy bể.

    Tóm lại : Việc nguy hiểm nhất là bị dính Shell , sau đó mới là pass - Đại đa số code share trên mạng đều bị cài Shell hoặc gắn backlink rồi chứ số ít là code sạch. Việc đặt pass cẩn thận, cấu hình cẩn thận,...chỉ là việc rất nhỏ mà bất cứ ai đều phải làm.

    Chúng ta nên chấp nhận hiện thực là "Không ai giỏi tất cả mọi thứ".

    Trên đây là 1 chút ý kiến của tớ, dù đúng hay chưa đúng cũng không sao vì quan trọng là tớ đã chia sẻ, hi vọng các pro chia sẻ quan điểm của mình. Thân.
    Misodangmien thích bài này.

Chia sẻ trang này