Повышение безопасности
Повышение безопасности
Уважаемые разработчики, а возможно ли сделать так, что бы панель не подключала ни phpmyadmin, ни pgadmin, ни свой веб нтерфейс на сайтах пользователей?
Что бы это всё жило только на системном домене или IP адресе сервера.
Я понимаю что это удобно для "школьников", но для серьёзных проектов это головная боль, когда у тебя на сайте phpmyadmin во внешний мир смотрит, или когда сама панель по домену открывается, это всё фиксится, но после каждого апдейта вызывает бурю негодования вновь.
PS: Сервер стоит во внутренней сети, наружу смотрят только 80 и 443 порты, минимум манёвров для взлома, и тут на те вам пожалуйста, phpmyadmin на блюдечке прямо на сайте открывается.
PS2: nginx+php-fpm
Что бы это всё жило только на системном домене или IP адресе сервера.
Я понимаю что это удобно для "школьников", но для серьёзных проектов это головная боль, когда у тебя на сайте phpmyadmin во внешний мир смотрит, или когда сама панель по домену открывается, это всё фиксится, но после каждого апдейта вызывает бурю негодования вновь.
PS: Сервер стоит во внутренней сети, наружу смотрят только 80 и 443 порты, минимум манёвров для взлома, и тут на те вам пожалуйста, phpmyadmin на блюдечке прямо на сайте открывается.
PS2: nginx+php-fpm
Re: Повышение безопасности
Здравствуйте, на форуме ни баги ни идеи мы не рассматриваем.
Оформите запрос как идею в баг трекере.
Оформите запрос как идею в баг трекере.
Re: Повышение безопасности
Справедливости ради стоит заменить, что в случае стандартной установки такое поведение закладывается самими пакетами phpmyadmin/pgadmin. Здесь основные вопросы:SOFTOLAB wrote:Уважаемые разработчики, а возможно ли сделать так, что бы панель не подключала ни phpmyadmin, ни pgadmin, ни свой веб нтерфейс на сайтах пользователей?
* к чему привязывать? Если мы хотим https для работы, то IP только с кривыми сертификатами.
* вопрос к чему актуален по той причине, что пользователь может сам не знать своего домена..
А что если ввести дополнительную авторизацию с выскакивающим окошком?
Re: Повышение безопасности
Баг трекер у весты это тихий ужас, лучше уж на форуме такие моменты обсуждать.imperio wrote:Здравствуйте, на форуме ни баги ни идеи мы не рассматриваем.
Оформите запрос как идею в баг трекере.
Ибо БТ как чёрная дыра, оттуда ничего не возвращается.
Но веста же задаёт какие адреса подключать к доменам для всякого доп.софта?skurudo wrote:Справедливости ради стоит заменить, что в случае стандартной установки такое поведение закладывается самими пакетами phpmyadmin/pgadmin. Здесь основные вопросы:SOFTOLAB wrote:Уважаемые разработчики, а возможно ли сделать так, что бы панель не подключала ни phpmyadmin, ни pgadmin, ни свой веб нтерфейс на сайтах пользователей?
* к чему привязывать? Если мы хотим https для работы, то IP только с кривыми сертификатами.
* вопрос к чему актуален по той причине, что пользователь может сам не знать своего домена..
А что если ввести дополнительную авторизацию с выскакивающим окошком?
У весты есть домен по умолчанию, который обычно равен названию сервера, ну или на крайний случай IP адрес. Сертификат понятное дело самоподписанный, хотя опять же если имя например sN.hosting.ru, то там могут и нормальный сертификат поставить, это будет в разы лучше самоподписанных на пользовательских доменах + приучит их к порядку.
Как пользователь может не знать своего домена? Как он получает логин и пароль для хостинга своих сайтов? Любой хостинг показывает все данные либо прямо в момент заказа и в последующем в подробностях услуги в биллинге, либо на почту скидывает, а скорее всего и показывает и на почту скидывает.
А те кто "не знают своего домена" пусть не сайтами занимаются, это явно не ихнее.
Нужно не костыли делать в виде окошек с авторизацией, а просто не делать то, чего на пользовательском сайте быть не должно.
Для особо отчаянных хостингов разводящих "хомячков", можно сделать данную функцию в виде опции для тарифа.
Re: Повышение безопасности
Чем он вам не нравится? Добавляете идею или баг и дальше отслеживаете по почте статус запроса.Баг трекер у весты это тихий ужас, лучше уж на форуме такие моменты обсуждать.
Ибо БТ как чёрная дыра, оттуда ничего не возвращается.
Снова повторю что с форума идеи и баги не рассматриваются и не реализуются/фиксятся.
Не имеет смысла тут публиковать ваши пожелания.
Re: Повышение безопасности
Там они тоже годами висят не проверенные, где разница?imperio wrote:Чем он вам не нравится? Добавляете идею или баг и дальше отслеживаете по почте статус запроса.Баг трекер у весты это тихий ужас, лучше уж на форуме такие моменты обсуждать.
Ибо БТ как чёрная дыра, оттуда ничего не возвращается.
Снова повторю что с форума идеи и баги не рассматриваются и не реализуются/фиксятся.
Не имеет смысла тут публиковать ваши пожелания.
Хотя бы последний баг с конфигом nginx, в официальном репе даже не удосужились его поправить, и новоиспечённые инстайллы вызывают бурления "говн" у новоиспечённых админов панельки.
Re: Повышение безопасности
Если вы про этот баг https://bugs.vestacp.com/issues/21
То посмотрите план на 16 релиз.
То посмотрите план на 16 релиз.