跳转到内容

skizzerz

客户
  • 的帖子

    88
  • 加入

  • 上次访问

关于skizzerz

    ip市场

    • 资源因素
      提交文件总数:2

    最近的概要的游客

    最近的访问者阻止是禁用的,并没有显示给其他用户。

    skizzerz所取得的成就

    1. 当它被配置为向Commerce支持部门发送提交以及通过常规Commerce支持请求提交的垃圾邮件时,它只会阻止“Contact Us”表单上的垃圾邮件。它不会在用户注册、论坛帖子或其他内容上运行。我可以考虑将Akismet扩展到套件的其他领域,如果你对此感兴趣,可以通过PM联系。
    2. 您错过了我所写的第二部分:“在您的API调用中使用HTTPS,并确保服务器的证书是严格验证的。”如果客户能够轻松地将其重新路由到另一个站点,那么您很可能会失败该消息的第二个方面。严格验证意味着1。证书中的主机名/SAN与您试图访问的主机匹配,2。该证书连接到一个受信任的CA;链中没有过期或已撤销的证书。您可能需要在REST库中显式地选择使用这种严格的验证,请参阅文档了解更多细节。如果客户机向其机器添加一个自定义根CA并为该主机生成一个欺骗证书,那么仍然可以绕过上述问题,但这比简单地在hosts文件中设置一个条目要费劲得多。将CA证书固定在你的应用程序中(也就是说,设置它,使CA证书是唯一可信任的CA,而不是依赖于系统的根CA存储)是一种让这变得更加困难的方法,尽管这意味着你的应用中嵌入了一个定时炸弹——如果上游站点更改CA或CA更改其根证书,你的应用将会崩溃,直到你更新指纹。 As such, I would personally recommend against pinning the CA certificate.
    3. 完全防止这种情况是不可能的,因为客户总是可以控制在他们机器上运行的代码。下面是一些帮助保护客户机应用程序的常用方法。这些方法没有一个是100%有效的(因为100%有效是不可能的),但更多的是“让诚实的人诚实”——也就是说,想要破坏你的授权的人会找到办法。然而,那些好奇但看到障碍的人更有可能放弃。编码/模糊的源代码使用HTTPS的API调用和确保严格验证服务器的证书有大量的其他方法快速搜索,但是上面的两个不应该引起太多额外的摩擦你的顾客没有试图绕过你的许可。你不想让你的反盗版措施过于繁重,以至于它破坏了付费用户的应用程序。
    4. 自定义表示插件没有从市场下载/安装。如果插件在市场中存在,你可以映射它们。在你的管理CP中应该有一个“市场设置”的通知——继续运行它。
    5. 这已经可以通过Commerce实现,尽管是针对常规产品而不是订阅。您可以创建一个7天内到期且不续订的常规产品,并在该产品处于活动状态时将用户添加到任何组。
    6. skizzerz

      支持反垃圾邮件

      版本1.0.0

      1下载

      这个插件将Akismet垃圾邮件过滤添加到传入的Commerce支持请求,包括通过Contact Us表单创建的支持请求。这有助于让你的支持台(和通知收件箱)远离混乱,即使垃圾邮件发送者擅长绕过验证码。功能在每个部门的基础上激活垃圾邮件过滤。控制当一个支持请求是垃圾邮件时发生的事情:你可以完全丢弃它,或者用垃圾邮件状态而不是打开创建它。无论哪种方式,您的支持台工作人员将不会收到任何通知。通过将请求更改为Spam状态或更改为Spam状态来标记假阴性和假阳性。这将训练Akismet更好地识别影响您的支持台的垃圾邮件。与垃圾邮件防御白名单功能完全集成,免除IP地址或电子邮件的垃圾邮件过滤。管理员和版主也自动豁免。垃圾邮件防御日志中显示的Akismet结果,用于审计,采用与内置的IPS垃圾邮件防御服务相同的数字方案进行成员注册。 Catch spam whether it comes from a member directly submitting a support request via Commerce or for support requests coming in from the Contact Us form. (Spam filtering for incoming email is currently not supported, if you feel this would be helpful for you, please drop me a line!) System Requirements Invision Community 4.4 or 4.5 Commerce An Akismet key (free for non-commercial sites, starting at $5/mo for commercial sites) PHP 7.0+ Your website must be able to contact the Akismet API (rest.akismet.com) using HTTPS. If you have a firewall, ensure it is allowed through
      15.00美元
    7. 禁用PHP函数位是纯粹的安全剧场,不会增加站点的安全性。如果攻击者由于某些漏洞而能够在您的服务器上运行任意的PHP代码,那么它就玩完了。限制这些函数并不能阻止它们做它们想做的事情。使用需要启用的功能,只是为了制作Invision社区功能,攻击者可以读/写文件,读/写数据库,打开套接字(网络连接)。狗万最低限额这些组合足以建立一个持久的后门和/或在您的网络中获得一个立足点,以便在其他地方发动攻击。Open_basedir可能是个好主意,这取决于您的设置。在您可以安全地启用它,启用它不会破坏任何东西的地方,这样做是一个好主意。为了确保PHP的安全,一个更好的设置是确保用户帐户PHP是运行的,因为你的Invision社区安装是无特权的(即不是root),并且是专用于你的站点的(即不是一个共享的apache用户)。狗万最低限额如果您有多个站点,请在单独的用户帐户下运行每个站点。然后,适当设置文件权限,使用户帐户对自己的文件具有只读访问权限,而对其他用户的文件没有访问权限。 Directories that must be writeable, such as cache and uploads, should have script execution disabled via server config. This ensures that a compromise is unable to write backdoor scripts to your filesystem (although they can still manipulate the database), which will limit the damage an attacker can do. By manipulating the database, an attacker can still establish persistent backdoors into your site with certain configurations (for example, by manipulating cache entries if they're stored in the db or by creating a new admin account), so this is not foolproof. As I wrote above, if an attacker is able to execute arbitrary PHP, it's game over. The setup I described in this paragraph blocks some of the ways they can do that, but not all of them.
    8. 上传的版本1.1.0,可以修改与Duo注册关联的标识符(成员id、显示名称或电子邮件地址)。请查看更新日志了解更改此设置的全部细节。此外,1.0.0和1.1.0已经在Invision Community 4.4上进行了测试。狗万最低限额
    9. 这在很大程度上取决于所使用的2FA方法。如果您正在使用谷歌Authenticator之类的TOTP方案,则不可能确定是否有多个用户正在使用同一设备,因为每次设置它时,都会给它一个唯一的令牌。如果您使用的方法是向用户发送短信,那么您可以比较正在使用的电话号码。
    10. 有没有一种方法可以永久地抑制这条信息?disable_functions不是一个合适的安全边界,如果攻击者实现了与disable_functions相关的必要RCE,那么即使不访问这些函数,他们也可以做很多事情。我在PHP解释器下面的各个层都有适当的安全措施,这个警告对我来说是多余的。每当它在Admin CP中弹出时,我可以一直抑制它,但我真的希望有一种方法让消息永远消失。
    11. 在4.3上测试了v1.0.0,一切似乎都工作正常,所以我将现有版本标记为兼容。
    12. 很抱歉我错过了这个…我正在跟踪这个话题,但似乎错过了这封邮件。无论如何,是的,除了常规登录之外,这对Admin CP登录也适用,就像内置的多因素认证方案一样。
    13. 这是对Duo身份验证的支持主题。//www.kcjns.com/files/file/8811-duo-authentication/
    14. 版本1.2.0

      54下载

      Duo身份验证允许您添加Duo作为另一个多因素身份验证(MFA)选项。Duo是一种付费服务,有一个有限的免费层(最多10个用户),允许集中管理所有授权用户。将插件XML文件上传到Admin CP中进行安装。在你的Duo仪表盘上,创建一个新的“Web SDK”应用程序。请看上面的截图(带有3个箭头和数字),了解如何做到这一点。记下集成密钥、秘密密钥和API主机名。此外,确保勾选“让用户删除设备,添加新设备,并重新激活Duo Mobile”。如果不是,你将需要自己注册你的用户,他们将无法管理他们的Duo帐户(添加/删除授权设备)在Invision社区。狗万最低限额如果手动注册,请确保用户名匹配Invision社区中的“duo标识符”设置。狗万最低限额默认情况下,这是会员的ID号,但它可以改为他们的显示名称或电子邮件地址。 See the screenshot above (with the 2 red boxes) for an image of where to find these settings. Copy the Integration Key, Secret Key, and API Hostname into the Duo settings in the Multi Factor Authentication area of the ACP. Toggle Duo from "Disabled" to "Enabled" -- your members can now use Duo! To manage which types of notifications are supported (push, SMS, phone call, passcode), edit the policy on the Duo dashboard. You can also enable a "remember me" checkbox on the Duo dashboard which will allow the user to bypass MFA for a set number of days on the same device.
      免费的
    15. 我非常怀疑IPS是否愿意每个月为$RANDOM_DEVELOPER投入大量资金。另外,续签是如何工作的?或者你只能获得免费的版本,如果你需要升级,你需要付费?
    ×
    ×
    • 创建新的…
    Baidu