Поддержка Разное О безопасности работы с сайтами

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Модератор SeVlad

    (@sevlad)

    wp.me/P3YHjQ-3

    Некоторые даже заводят отдельный браузер для чисто админских дел.

    А что, неужто есть «админы», у которых один браузер на всё? И на администрирование сайта и на ПУ хостера/гуло-яндексовские кабинеты и на сёрф по помойкам? О, ужас.
    Как минимум другой профиль браузера — должны обязательно.

    Для постинга статей админские права не нужны.

    +150. Постиг должен делать не админ.
    К тому же для этого есть блог-клиенты. В тч и как аддоны для браузера. Местами удобнее, хотя и не всегда.

    Наученный горьким опытом — да. Некоторые даже заводят отдельный браузер для чисто админских дел. Для постинга статей админские права не нужны. «Не сидеть под админом» — одна из заповедей безопасности.

    Можно подробнее? У меня горького опыта, тьфу-тьфу, не было, но ведь никто не застрахован. Поделитесь, чем это опасно и как предохраниться? И как завести отдельный браузер и постить без прав админа?

    Модератор Юрий

    (@yube)

    А что, неужто есть «админы», у которых один браузер на всё?

    Есть многое на свете, друг Горацио 🙂

    Модератор Юрий

    (@yube)

    Можно подробнее?

    Разумеется. Всегда есть опасность напороться на CSRF. Если кратко, то админу подсовывают (в почте, в социалке, на форуме, еще как-то) такую хитросделанную ссылку, что когда он переходит по ней, непроизвольно производит некие действия, которые сам бы, находясь в здравом уме и трезвой памяти, никогда не совершил. Подробнее в Википедии https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0 и на специализированных ресурсах.

    В самом WP с этим злом успешно борются, но всегда есть временной лаг между обнаружением уязвимости хакерами и исправлением её в движке.

    Но еще есть плагины и темы, и отнюдь не все из них обновляются столь же оперативно. Так что вероятность поймать неприятность через плагин гораздо выше. Уязвимые плагины из каталога удаляют, но на сайтах они остаются (не Эппл же какой;))) и представляют собой серьезную опасность.

    Как предохраняться.
    1. Зашел — сделал дело — вылогинился.
    2. Для постинга создать нового юзера с ограниченными правами (автор, например) и наполнять сайт от его имени. Отвечать на комментарии тоже от него.
    3. Отдельный браузер(ы) для админских и финансо-банковских дел. И никогда ни по каким ссылкам из этого браузера не ходить. Если сильно лень заморачиваться с клипбордом, но по ссылкам ходить нужно, можно поставить расширение Open With (расширение — тоже риск) и открывать ссылки в два клика, а не в один.

    Дальше коллеги дополнят, надеюсь.

    К тому же для этого есть блог-клиенты. В тч и как аддоны для браузера.

    Странная у вас позиция. Вроде за безопасность, отдельны браузер. А потом говорите про аддоны для браузера, ftp клиенты. Уж лучше я буду под админом сидеть в чистом браузере, чем с информерами погоды/блог-клиентами в браузере и тысячами дополнительных ненужных программ на компе.

    Юрий, спасибо! Даже не знала о таких рисках, из админа никогда не вылогинивалась, да и на сайты всегда захожу из-под него, даже если посмотреть надо снаружи. В общем, сама беспечность. Пошла создавать себе юзеров и удалять закладки на админки из браузеров.

    Модератор SeVlad

    (@sevlad)

    wp.me/P3YHjQ-3

    Дополним Юрия.

    Поделитесь, чем это опасно и

    1. Погуглите насчёт перехвата куков.
    2. «Разные» скрипты на «разных» сайтах, включая их «разные» хостинги. Хотя браузеры и «сопротивляются» этой опасности, но.. см п1.

    как предохраниться?

    Всегда для чего попало использовать браузер по умолчанию. Для работы использовать другой браузер/другой профиль браузера. Возможно дополнительно аддоны-«песочницы». Для особо подозрительных сайтов (и запуска не надёжного ПО) — браузеры в песочницах (либо спец ПО либо функции системы безопасности ПК. Напр в CIS это есть)

    И никогда не открывать ссылки из почты по клику. Копируете и смотрите куда ведёт она в реальности. Даже если ссылка написана открытым текстом (одна из причин почему лучше использовать не веб-интерфейс, мейл-клиенты в режиме чтения «только текст»)

    АПД. ДА! В рабочих браузерах/профилях никуда не ходить кроме рабочих сайтов и использовать минимум аддонов. Только самые нужные. Особо обращаю внимание — никаких СЕО-аддонов и тп. Заведите для них отдельный профиль, где никогда не логиньтесь на сайт и в др. важные места.

    И как завести отдельный браузер

    Кроме упомянутой выше возможности создания профилей в природе существую другие, разные браузеры.
    Кроме того можно использовать портабельные версии. А чтобы запускать их одновременно нужно создать профиль отличный от дефолтного.

    и постить без прав админа?

    Создаёте в ВП второго пользователя с правами напр автора (опц: с пом плагинов управления пользователями изменить возможности на нужные) и постингом занимаетесь из-под него. Админ только для настройки/обновлений и тп.

    (а если освоить wp-cli… то и админка для многого не нужна 🙂 )

    Странная у вас позиция. Вроде за безопасность, отдельны браузер. А потом говорите про аддоны для браузера, ftp клиенты.

    И чём Вы видите странность-то?

    • Ответ изменён 1 месяц, 2 нед. назад пользователем  SeVlad.
    • Ответ изменён 1 месяц, 2 нед. назад пользователем  SeVlad. Причина: апд
Просмотр 7 ответов — с 1 по 7 (всего 7)