Меню

Как установить пароль на свой сайт

Как поставить пароль на раздел (директорию, папку) сайта

Бывают случаи, когда нужно ограничить доступ пользователей к определенной папке на сайте (разделу сайта) и пускать туда посетителей только по паролю. Например, в раздел администратора. В этой статье я приведу инструкцию когда в качестве веб-сервера вы используете Apache.

Как настроить доступ по паролю

Во-первых, необходим файл с кодами авторизации, который содержит имена пользователей и их пароли. Во-вторых, необходимо указать веб-серверу, что доступ к этому разделу сайта (папка, директория) возможен только авторизованным пользователям.

Настройка доступа к папке по паролю в веб-сервере Apache производится в служебном файле .htaccess. Этот файл должен находиться в той папке для которой мы настраиваем ограничения. Иными словами, инструкции из файла .htaccess распространяются на ту папку, в которой этот файл расположен.

Чтобы доступ к необходимой нам папке был ограничен необходимо добавить в файл .htaccess следующие строки (если такого файла нет, то создайте его):

Где,
AuthName — это приветствие, которое увидят посетители, вы можете изменить его на свое,
AuthUserFile — полный путь к файлу паролей от корня диска, у вас должен быть свой (не путать с адресом запароленной директории).

Файл .htpasswd нужно размещать вне папок сайта, чтобы к нему не было доступа из интернета.

Файл состоит из строк, в каждой из которых содержатся пары логин и хеш пароля. Логин отделяется от хеша двоеточием. Пример содержимого файла:

Так как файл .htpasswd не содержит пароль в открытом виде, а лишь его хеш, то внести изменения в этот файл вручную с помощью обычного текстового редактора не получится. Нужно использовать специальную утилиту. В линукс системах для работы с файлом паролей используется утилита htpasswd, входящая в состав дистрибутива веб-сервера Apache. Я писал о ее использовании в этой статье.

Чтобы создать файл с паролями .htpasswd и добавить пользователя используйте команду:

Здесь:
/home/username/data/.htpasswd — это полный путь от корня диска к файлу с паролями, а
NewUser — имя пользователя.

При вводе команды вам будет предложено указать пароль, а затем подтвердить его, то есть ввести пароль нужно будет два раза.

С помощью этой утилиты, так же можно изменить уже присвоенный пользователю пароль, то есть изменить пароль для существующего пользователя.

Если вы все сделали правильно, то при посещении запароленной папки (раздела на сайте), вы должны увидеть примерно следующее уведомление:

При вводе неправильных данных вы получите стандартное сообщение о 401-й ошибке (несанкционированный доступ, посетитель не авторизован), а при корректных данных — доступ к закрытому разделу сайта.

Благодарности

При написании статьи были использованы следующие источники:

Источник

Установка пароля на страницу

Я решил описать способы закрыть паролем часть сайта. Тема, на самом деле, большая, поэтому на первый раз ограничусь авторизацией php+mysql.

Главный недостаток этого способа — сервер не может блокировать подбор пароля (это после нескольких неудачных попыток входа пользователю предлагается подождать часок-другой, а в течение этого времени обращения с его IP-адреса игнорируются). Это написано в официальной документации по Апачу.

Читайте также:  Как установить дивертор на смеситель

Ещё один недостаток — необходимость переписывать файлы с паролями при удалении пользователя или введении нового. Но если это происходит нечасто, этого способа вполне достаточно, к тому же не придётся забивать голову написанием механизма авторизации.

Автоматизация авторизации

Это нужно не только для упрощения работы с большим количеством пользователей и их большой «текучкой». Если нужно держать дополнительную информацию о пользователях, либо необходимо гибкое разграничение прав, лучше перенести авторизацию в базу.

Каждая страница закрытой территории подключает файл с вот таким кодом:

Конечно же, пример, который я привёл, имеет ряд существенных недостатков. Не переписывайте его один-в-один, чтобы потом не пасть жертвой попыток подбора пароля, потому что
1. защиты от подбора здесь нет
2. если таблица пользователей большая, при подборе пароля злоумышленник, скорее всего, «завалит» базу

И последний на сегодня способ — хранение зашифрованных данных в куках.

Есть скрипт для входа, остальные подключают код, позволяющий только продолжить действия в закрытой области — если куки истекут, или он выйдет оттуда, придётся возвращаться на страницу для входа.

Входной скрипт проверяет логин и пароль и выдает две куки. В первой — логин, чтобы сразу опознать пользователя (в базе поле логина, естественно, уникальное или даже ключевое). Во второй куке — хэш от времени входа и пароля (для полноты конспирации я добавляю к этим строкам букву «Ы» — тогда хэш подобрать почти невозможно :).

Все остальные программы подключают код, который делает следующее. Делает запрос в базу — выбирает строку с полученным логином. Из этой строки берет поле «log_time» и пароль и делает из них, как и описано выше, хэш. Сравнивает его с тем, что получил, и если они совпадают, выдает новую куку хэша, опять же, от пароля, времени и буквы «Ы» и делает запрос в базу данных «UPDATE user SET log_time=’…’ WHERE login=’$cookie_login’».

Опять же, здесь нет никакой защиты от подбора и атаки на сервер (кстати, здесь можно вместо буквы «Ы» писать IP-адрес пользователя — чтобы, например, соседу по офису нельзя было взять файл с кукой и зайти со своего компьютера).

Пароль на страницу. Часть 2. Блокировка подбора

Когда я выложил этот выпуск в прошлый раз, меня запинали на месте, мол такой блокировкой можно и сервер «пустить под откос».

Но сначала о блокировке подбора. Банальности, но всё-таки. Пароль длинной десять символов из букв латиницы и цифр — это очень много вариантов. Если подбирать пароль по 1 000 000 вариантов в секунду, понадобится несколько тысяч лет. Но поскольку такую абракадабру запомнить сложно, мы чаще делаем пароль из осмысленных слов. Несколько лет назад оказалось, что большинство паролей можно подобрать при помощи словаря из 10 000 слов. В своё время в сети появился червь (вирус такой), который лазил по юниксовым серверам, используя их дырки в защите, и подбирал пароли привелигированых пользователей при помощи… системного орфографического словаря Юникса. Ничего таскать не надо было!

Читайте также:  Xamarin android player как установить

Каждый пользователь, пока он не ввёл правильный логин и пароль, считается злобным хакером. С чем же мы имеем дело, когда пользователь вводит что-либо неправильно?
забывчивость (на это на приличных сайтах есть формочка «забыл пароль», чтобы отправить на введёный в системных настройках email этот самый пароль)
баловство («ибо нефиг»)
подбор пароля по словарю (вероятность удачного подбора велика, поэтому закрывать надо, тем более, если сайт коммерческого характера)
DoS-атака (чтобы не перегрузить сервер, надо минимизировать действия, которые будет выполнять скрипт в таком случае)

Я долго думал, как можно вызвать перегрузку на сервере, если механизм защиты стоит на файлах. Оказалось, несложно (сколько это будет стоить — другой вопрос). Итак, допустим, сервер не выдержит, если скрипт будет пытаться 1000 раз в секунду открывать файлы на запись и писать в них данные. Поскольку после 5 неудачных попыток войти в систему пользователь будет сразу получать отказ в доступе (без какой-либо записи данных в файл), надо найти 200 уникальных IP, с которых по пять раз и обратиться. Это возможно. Вешаем в баннерокрутилке html-баннер с пятью тегами:

Пользователь моментально делает пять обращений сервер пять раз пишет в файл (кстати, в некоторых броузерах, возможно, выскочит окно для ввода логина и пароля). Можно сделать html-страницу с пятью такими картинками, а саму страницу вставить через iframe на посещаемый сайт (через iframe — чтобы по полю referer не нашли. Вряд ли служба поддержки халявного хостинга будет заниматься такими вещами как копание в лог-файлах в поисках рефереров). Те примеры, которые я привёл, разумеется, натянуты, но сам факт того, что можно воспользоваться таким недостатком системы, доказан. Кстати, нечто подобное уже было.

order deny,allow
deny from all
allow from xxx.xxx.xxx

А вот код программы:

Хранить ли старые записи для статистики или нет — дело хозяйское. Если что, их можно удалять, выполняя перед авторизацией запрос:

Источник

Блокировка браузера паролем. Как поставить пароль на браузер?

Блокировка браузера. Для чего она может понадобиться? Сегодня в статье подробно расскажу об этом.
Поэтому, всех, кто хочет узнать как поставить пароль на браузер или как заблокировать браузер, милости прошу!

Блокировка браузера. Для чего может понадобиться?

Причин блокировки браузера может быть много. Это и ограничение к нему доступа со стороны детей, и защита личной информации от коллег на работе (если на компьютере не настроен экран блокировки), либо от кого бы то ни было, проявляющего излишнее любопытство. К примеру, подсмотреть в браузере сохранённые пароли к сайтам, либо историю посещённых сайтов, дело пары минут. А поставив пароль на браузер, вы активируете таким образом хотя бы защиту от «дурака».
В моём случае, пришлось заблокировать браузеры, чтобы дети не имели к ним бесконтрольный доступ.

Читайте также:  Как установить в телеграмме невидимку

Как заблокировать браузер?

Способов блокировки браузера несколько. Некоторые браузеры можно блокировать с помощью расширений (дополнений), другие имеют встроенный функционал ограничения доступа (мастер пароль), а третьи можно заблокировать только с помощью специальных программ. В начале расскажу про программу, с помощью которой можно поставить пароль на любой браузер и на любую запускаемую программу. Такой вариант будет предпочтителен для тех пользователей, которые используют в системе несколько браузеров. Затем, отдельно приведу варианты блокировок для тех браузеров, которые такую возможность поддерживают из коробки.

Как поставить пароль на браузер на компьютере. [Game Protector]

Как поставить пароль на браузер Google Chrome? [LockPW]

Google Chrome это самый популярный браузер в мире. Если вы пользуетесь только им, то нет смысла устанавливать в систему дополнительные программы для его блокировки. Проще воспользоваться дополнением, который позволит запоролить браузер.
Мой выбор пал на дополнение LockPW, который можно найти в магазине дополнений от Google Chrome.

При просмотре фильмов онлайн, активация данного пункта не желательна, так как через каждые 15 минут бездействия, браузер будет блокироваться и придётся вводить пароль заново.


Теперь при запуске браузера он попросит ввести пароль. При неправильном вводе пароля и исчерпании попыток, браузер просто закроется.
Чтобы отключить блокировку браузера и снять пароль нужно сначала запустить браузер, затем в настройках дополнения нажать на кнопку в виде вот такой пиктограммы.

Как поставить пароль на браузер Яндекс

Яндекс.Браузер — второй по популярности среди браузеров в нашей стране. Он создан компанией Яндекс на движке Blink. На этом же движке создан и открытый браузер Chromium. Так как движок идентичен, то расширения для Google Chrome также подходят и для Яндекс.Браузера. Поэтому, для того чтобы установить пароль на браузер Яндекс, можно также воспользоваться расширением LockPW. А про то, как это расширение настроить уже написано выше.

Как заблокировать браузер Mozilla Firefox

Браузер Firefox от компании Mozilla имеет встроенные инструменты для установки пароля на запуск. Чтобы поставить пароль на браузер Mozilla Firefox:

Минус данного метода в том, что такой пароль защищает только ваши пароли от просмотра. Сам браузер так не блокируется и на момент написания этой статьи я не нашёл и дополнения, который бы блокировал Firefox. Но всегда можно воспользоваться программой Game Protector, о которой речь шла выше.

Как «запоролить» браузер Opera

Браузер Опера все ещё пользуется популярностью у некоторых пользователей в нашей стране. Этим пользователям в блокировке браузера Opera поможет расширение Set password for your browser (Opera lock). Чтобы его установить:

Теперь браузер при запуске будет запрашивать пароль для доступа. Для снятия достаточно зайти в браузер и удалить данное дополнение.

Подводя итоги:

Источник