Переход с базовой на хешированную авторизацию
12.05.2009Выложил обновленную версию, в которой главное - это переход от базовой к хешированной авторизации. Это очень важное обновление, так как является критическим для безопасности. Пароль вы не теряете - он остается каким был. После обновления, если открыть любую страницу админки, то вновь появится окошко приглашения для ввода пароля. В настоящий момент я сделал время устаревания случайного ключа равным 100 секундам, но не знаю много лили это мало. На мой взгляд более чем часто. В первоначальном виде я ставил один час. Но немного потестировав, пришел к выводу, что идеальным был бы вообще одноразовый случайный ключ, но из за этого безусловно возросла бы нагрузка. Выяснил еще следующую проблему при старой авторизации базовым методом: если просто ходить по сайту вне админке, все равно в заголовках отправляется пароль. Это могло создать теоретические проблемы для безопасности, в случае перехвата заголовков. Теперь, даже если заголовки могут быть перехвачены, то время их жизни ограничено максимум 100 секундами, после чего на сервере будет сгенерирован новый случайный ключ и значение прежних заголовков потеряет какое либо значение. Для конечного, то бишь для администратора блоголёта, ничего не поменялось - все обмены ключами организованы на уровне протокола.
Внес еще пару изменений в шаблон. В каждый шаблон добавил пару следующих строк
<link rel="sitemap" href="$Options->url/sitemap/" />
$Template->archives
Вы можете после обновления самостоятельно обновить файл index.tml ваших тем, чтобы в них появились примерно следующие строки в секции head
<link rel="sitemap" href="http://blogolet.ru/sitemap/" />
<link rel="archives" title="Май 2009" href="http://blogolet.ru/2009/05/" />
<link rel="archives" title="Апрель 2009" href="http://blogolet.ru/2009/04/" />
<link rel="archives" title="Март 2009" href="http://blogolet.ru/2009/03/" />
Какого то сео эффекта от этого не будет, разве что для сайтов с плохой индексацией. Также в виджете архив добавлен атрибут rel="archive", который впрочем не имеет особого значения, лишь указывает поисковикам отношение этой ссылки. Для секции head был добавлен тег archives в TTemplate и соответственно файл в кеше для этого. Ну и соответственно включение этого тега в тему незначительно увеличить нагрузку.
← Ранее Установка блоголёта
Комментарии (8) на запись “Переход с базовой на хешированную авторизацию”
Оставить комментарий
1. Запросить новый пароль по адресу
/admin/passwordrecover/
Обновлялся только после того, как получил по RSS сообщение, что появилась новая запись на вашем блоге.
Пошёл по первому пути. Получил пароль. Ввожу его. Снова не пускают.
Наверное, надо идти по второму варианту. Только как откатить назад, если я не могу восстановить блог из бэкапа (в админку-то не пускает)?
Причём через блог-клиент могу получать список рубрик, то есть после обновления пароль не был изменён на новый. А уже когда я запросил новый, только тогда он и появился.
Проблема не может возникнуть из-за того, что у меня старые шаблоны? Насколько помню, при автоматическом обновлении папки с темами не обновляются.
Fatal error: Class 'TAuthDigest' not found in /home/satstro/public_html/iconclipart.ru/lib/adminpage.php on line 60
В корневом файле index.php перед $Urlmap вставить две строки
$updater = &TUpdater::Instance();
$updater->Update();
после чего открыть любую страницу, также обноввить файл .htaccess в корне - это для php как cgi