skizzerz

当它被配置为向Commerce支持部门发送提交以及通过常规Commerce支持请求提交的垃圾邮件时，它只会阻止“Contact Us”表单上的垃圾邮件。它不会在用户注册、论坛帖子或其他内容上运行。我可以考虑将Akismet扩展到套件的其他领域，如果你对此感兴趣，可以通过PM联系。

您错过了我所写的第二部分:“在您的API调用中使用HTTPS，并确保服务器的证书是严格验证的。”如果客户能够轻松地将其重新路由到另一个站点，那么您很可能会失败该消息的第二个方面。严格验证意味着1。证书中的主机名/SAN与您试图访问的主机匹配，2。该证书连接到一个受信任的CA;链中没有过期或已撤销的证书。您可能需要在REST库中显式地选择使用这种严格的验证，请参阅文档了解更多细节。如果客户机向其机器添加一个自定义根CA并为该主机生成一个欺骗证书，那么仍然可以绕过上述问题，但这比简单地在hosts文件中设置一个条目要费劲得多。将CA证书固定在你的应用程序中(也就是说，设置它，使CA证书是唯一可信任的CA，而不是依赖于系统的根CA存储)是一种让这变得更加困难的方法，尽管这意味着你的应用中嵌入了一个定时炸弹——如果上游站点更改CA或CA更改其根证书，你的应用将会崩溃，直到你更新指纹。 As such, I would personally recommend against pinning the CA certificate.

完全防止这种情况是不可能的，因为客户总是可以控制在他们机器上运行的代码。下面是一些帮助保护客户机应用程序的常用方法。这些方法没有一个是100%有效的(因为100%有效是不可能的)，但更多的是“让诚实的人诚实”——也就是说，想要破坏你的授权的人会找到办法。然而，那些好奇但看到障碍的人更有可能放弃。编码/模糊的源代码使用HTTPS的API调用和确保严格验证服务器的证书有大量的其他方法快速搜索,但是上面的两个不应该引起太多额外的摩擦你的顾客没有试图绕过你的许可。你不想让你的反盗版措施过于繁重，以至于它破坏了付费用户的应用程序。

自定义表示插件没有从市场下载/安装。如果插件在市场中存在，你可以映射它们。在你的管理CP中应该有一个“市场设置”的通知——继续运行它。

这已经可以通过Commerce实现，尽管是针对常规产品而不是订阅。您可以创建一个7天内到期且不续订的常规产品，并在该产品处于活动状态时将用户添加到任何组。

禁用PHP函数位是纯粹的安全剧场，不会增加站点的安全性。如果攻击者由于某些漏洞而能够在您的服务器上运行任意的PHP代码，那么它就玩完了。限制这些函数并不能阻止它们做它们想做的事情。使用需要启用的功能，只是为了制作Invision社区功能，攻击者可以读/写文件，读/写数据库，打开套接字(网络连接)。狗万最低限额这些组合足以建立一个持久的后门和/或在您的网络中获得一个立足点，以便在其他地方发动攻击。Open_basedir可能是个好主意，这取决于您的设置。在您可以安全地启用它，启用它不会破坏任何东西的地方，这样做是一个好主意。为了确保PHP的安全，一个更好的设置是确保用户帐户PHP是运行的，因为你的Invision社区安装是无特权的(即不是root)，并且是专用于你的站点的(即不是一个共享的apache用户)。狗万最低限额如果您有多个站点，请在单独的用户帐户下运行每个站点。然后，适当设置文件权限，使用户帐户对自己的文件具有只读访问权限，而对其他用户的文件没有访问权限。 Directories that must be writeable, such as cache and uploads, should have script execution disabled via server config. This ensures that a compromise is unable to write backdoor scripts to your filesystem (although they can still manipulate the database), which will limit the damage an attacker can do. By manipulating the database, an attacker can still establish persistent backdoors into your site with certain configurations (for example, by manipulating cache entries if they're stored in the db or by creating a new admin account), so this is not foolproof. As I wrote above, if an attacker is able to execute arbitrary PHP, it's game over. The setup I described in this paragraph blocks some of the ways they can do that, but not all of them.

上传的版本1.1.0，可以修改与Duo注册关联的标识符(成员id、显示名称或电子邮件地址)。请查看更新日志了解更改此设置的全部细节。此外，1.0.0和1.1.0已经在Invision Community 4.4上进行了测试。狗万最低限额

这在很大程度上取决于所使用的2FA方法。如果您正在使用谷歌Authenticator之类的TOTP方案，则不可能确定是否有多个用户正在使用同一设备，因为每次设置它时，都会给它一个唯一的令牌。如果您使用的方法是向用户发送短信，那么您可以比较正在使用的电话号码。

有没有一种方法可以永久地抑制这条信息?disable_functions不是一个合适的安全边界，如果攻击者实现了与disable_functions相关的必要RCE，那么即使不访问这些函数，他们也可以做很多事情。我在PHP解释器下面的各个层都有适当的安全措施，这个警告对我来说是多余的。每当它在Admin CP中弹出时，我可以一直抑制它，但我真的希望有一种方法让消息永远消失。

在4.3上测试了v1.0.0，一切似乎都工作正常，所以我将现有版本标记为兼容。

很抱歉我错过了这个…我正在跟踪这个话题，但似乎错过了这封邮件。无论如何，是的，除了常规登录之外，这对Admin CP登录也适用，就像内置的多因素认证方案一样。

这是对Duo身份验证的支持主题。//www.kcjns.com/files/file/8811-duo-authentication/

我非常怀疑IPS是否愿意每个月为$RANDOM_DEVELOPER投入大量资金。另外，续签是如何工作的?或者你只能获得免费的版本，如果你需要升级，你需要付费?