Revolut: Lepsze niż Twoje obecne konto bankowe

Z kont „hostingowych” (m.in.) na LinuxPL korzystam już od kilku lat, i zazwyczaj wszystko jest OK, więc śmiało mogę polecić. Oczywiście czasem zdarzają się pady serwera, jakieś „od tak, bo możemy” blokady czy „inne udziwniacze” – i dziś będzie o jednym z takich „udziwniaczy”.

Dodatkowa ochrona logowania

Dziś podczas rutynowego logowania do panelu administratora WordPressa przywitał mnie nowy komunikat. W Firefoxie wygląda tak:

linuxpl-com_wp-admin_ff_201308

Podaj nazwę użytkownika i hasło

Witryna http://rembiejewski.pl prosi o podanie nazwy użytkownika i hasła.
Komunikat witryny:

„(Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin )”

W Internet Explorerze tak:

linuxpl-com_wp-admin_ie_201308

Zabezpieczenia systemu Windows

Serwer rembiejewski.pl w lokalizacji (Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin ) wymaga nazwy użytkownika i hasła.

Ostrzeżenie: ten serwer żąda wysłania Twojej nazwy użytkownika i hasła w
niezabezpieczony sposób (podstawowe uwierzytelnienie bez bezpiecznego
połączenia).

I do kompletu jeszcze Google Chrome:

linuxpl-com_wp-admin_chrome_201308

Wymagane uwierzytelnienie

Serwer http:// :80 wymaga nazwy użytkownika i hasła. Komunikat serwera: (Linuxpl.com: DODATKOWA OCHRONA LOGOWANIA, LOGIN i HASŁO: wpadmin ).

Piszę o tym z dwóch głównych – i moim zdaniem powiązanych ze sobą – powodów:

Brak informacji

Rozumiem, że ktoś w firmie hostingowej wpadł na genialny pomysł, że dodatkowo globalnie zabezpieczy… hosting, zabezpieczając strony klientów, które na nim działają. Problem tylko w tym, że chyba nikt przy tej okazji nie wpadł na pomysł, by odpowiednią informację, z odpowiednim wyprzedzeniem rozesłać do klientów. Choćby po to, by np. nie uznali, że to „dziwne okienko”, to jakiś włam na ich stronę i próba wyłudzenia danych logowania.

Dodatkowe (nie)bezpieczeństwo

Ale oprócz tego, że teoretycznie ma to szansę zatrzymać część atakujących botów – teoretycznie, bo skoro radzą sobie z reCAPTCHA to i z takim „zabezpieczeniem” raczej też sobie poradzą – jak nie od razu, to za chwilę, zwłaszcza że login i hasło mają podane „na tacy” (choć przyznam, że sam na kilku stronach korzystam z takiego rozwiązania – czasem jest to najprostsza metoda wycięcia „niepotrzebnego ruchu”, zwłaszcza, gdy login i hasło znają tylko wybrane osoby).

Problem w tym, że choć w komunikacie jest podana informacja jakie należy podać hasło i login (wpadmin) to zapewne część z użytkowników „odruchowo” wpisze tam swoje prawdziwe dane do logowania, które jak słusznie informuje Internet Explorer – są przesyłane do serwera w formie niezaszyfrowanej, a więc istnieje szansa ich przechwycenia (pomija kwestie tego, że niestety i tak większość z Was zapewne loguje się do swojego konta bez szyfrowania).

Zwłaszcza, że to „dodatkowe zabezpieczenie” zostało wprowadzone „od górnie”, bez jakiejkolwiek wcześniejszej informacji dla użytkowników/klientów. I jest to chyba mój największy zarzut, choć jako „aktywny użytkownik” LinuxPL nie raz się miałem okazję przekonać, że komunikacja/przekaz informacyjny miejscami/czasem trochę kuleje…

[Aktualizacja]

Mała korekta komunikatu

Pojawiła się nowa wersja komunikatu, troszkę lepiej informującego o tym, że „ktoś coś”:

Serwer rembiejewski.pl w lokalizacji (WPISZ ‚wpadmin’ jako nazwę użytkownika i ‚wpadmin’ jako hasło. To dodatkowa ochrona logowania) wymaga nazwy użytkownika i hasła.

Ostrzeżenie: ten serwer żąda wysłania Twojej nazwy użytkownika i hasła w niezabezpieczony sposób (podstawowe uwierzytelnienie bez bezpiecznego połączenia).

Lepiej, choć nadal uważam, że można to było zrobić lepiej, zwłaszcza w kontekście komunikacji z klientami.

[Aktualizacja 2013.09.02]

Satisfy Any, czyli wyłączmy żądanie loginu i hasła

Pisząc pierwszą wersję tego wpisu zastanawiałem się czy podać prosty sposób na obejście tego zabezpieczenia, który sam zastosowałem. Trochę obawiałem się, że zestawienie w jednym wpisie „linuxpl” i „Satisfy Any” spowoduje wyłapanie tego przez administratorów usługi, którzy zamiast pozwolić „bardziej świadomym użytkownikom” wyłączyć to zabezpieczenie „w pewnych sytuacjach” spróbują je przyblokować. Ale skoro i tak pojawiła się taka informacja w komentarzach – to chyba nie ma wyjścia… ;-)

W każdym razie – jak pisze u siebie „meloniq” (link do niego w jego komentarzu poniżej) – można wyłączyć u siebie to zabezpieczenie poprzez modyfikację pliku .htaccess (jeśli go nie macie – co przy WordPressie jest raczej mało prawdopodobne – musicie utworzyć taki plik).

W pliku .htaccess należy dopisać:

<FilesMatch "wp-login.php">
Satisfy Any
</FilesMatch>

Choć warto jakieś dodatkowe zabezpieczenie na/dla WordPressa posiadać – na wszelki wypadek…

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!

Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!

Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.

Patryk

CEO Webinsider.pl, a do tego CTO, CIO, CFO, CMO, CSO, COO i CRO ;-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.

Dumny przyjaciel swoich psów :-)
Na WebInsider.pl korzystamy z motywu Extra od Elegant Themes. Zobacz dlaczego...