Настройки безопасности и сессий
В этой секции панели управления вы можете определить основные настройки, связанные с безопасностью вашего веб сайта. Эти настройки применяются по всему веб сайту/системе.
Тип сессии для панели управления
Эта настройка определяет, как будут обрабатываться сессии для панели управления. Вы можете использовать cookies, session ID, или их комбинацию. Доступные настройки:
- Cookies and session ID: Используются оба параметра cookies и session ID, для того чтобы отслеживать административных пользователей. Эта настройка используется по умолчанию, и является самой безопасной, так как полагается на два разных источника - индивидуальные cookies и URL session ID.
- Только cookies: Для отслеживания административных пользователей используются только cookies. Если используется эта установка, то на странице авторизации панели управления, появиться кнопка-флажок "запомнить меня", позволяя пользователям в дальнейшем заходить в панель управления без процедуры авторизации.
- Только Session ID: Используются только URL session ID, для отслеживания административных пользователей. Эта опция должна использоваться, только если ваш персональный компьютер препятствует вам принимать cookies в том случае, если вы, например, используете брандмауэр или из-за других технических проблем.
Тип сессии для пользователя
Эта настройка определяет, как обрабатываются сессии для обычных пользователей вашего веб сайта. Вы можете использовать cookies, session ID, или их комбинацию. Доступные настройки:
- Cookies and session ID: Для отслеживания пользователей во время их посещения используются cookies и URL session ID.
- Только cookies: Для отслеживания пользователей во время их посещения используются только cookies. Это настройка по умолчанию, и вообще лучший выбор, так как при этом в URL не отображаются session ID.
- Только Session ID: Для отслеживания пользователей во время их посещения используются только session ID.
Обрабатывать данные форм в безопасном режиме?
Эта настройка определяет, как будут обрабатываться данные форм. Если установлено "Да", то формы будут обрабатываться в безопасном режиме. Эта функция разработана для того чтобы сдерживать автоматические спам атаки, а так же случайную многократную отправку форм. Включение этой функции добавляет один дополнительный запрос к базе данных для каждой передачи формы.
Запретить дублирование данных?
Эта опция предотвратит получение данных от пользователей (комментарии, трекбэки и т.д.), если они абсолютно идентичны уже существующим. Эта функция разработана для того чтобы сдерживать автоматические спам атаки, а так же случайную многократную отправку форм.
Применять Rank Denial к ссылкам, публикуемым пользователями?
Эта настройка переписывает ссылки, содержащиеся в комментариях таким образом, что они функционируют через промежуточную страницу перенаправления. Это помогает в борьбе со спамерами, предотвращая каталогизацию их ссылок поисковиками.
Разрешить пользователям изменять свой логин?
Как и предполагает название, эта настройка определяет, разрешается ли пользователям изменять свой "логин" после регистрации. Пользователям всегда можно изменить свое "имя", если возникнет необходимость.
Разрешить множественные регистрации с использованием одного email адреса?
Вы можете выбрать, разрешено или нет, пользователям использовать один и тот же адрес электронной почты для разных учетных записей. Если в настройке указано "Нет", то для каждой учетной записи будет требоваться уникальный адрес email.
Примечание: Вообще, лучше не использовать эту опцию, так как могут возникнуть проблемы, если пользователь забудет свой пароль. Так как работа функции "восстановление пароля" основана на адресе электронной почты пользователя, и если адрес email не уникален, то система не сможет определить, какой пользователь запросил свой пароль.
Разрешить множественную авторизацию с одной учетной записи?
Эта настройка определяет, может ли несколько человек авторизоваться и использовать ExpressionEngine с одной и той же учетной записью.
Примечание: Если тип сессии для пользователя установлен "Только Cookies", эта функция работать не будет. Система может отслеживать нескольких пользователей, использующих одну и ту же учетную запись, только если в типе сессии используется session ID, опция не работает, если используется опция "Только cookies".
Запрашивать IP адрес и User Agent для авторизации?
Если установлено "Да", то пользователи не смогут авторизоваться, если их браузер (или другое устройство доступа) не передает корректно их IP адрес и User Agent (информацию о браузере). Данная настройка помогает предотвращать подключения хакеров с использованием direct socket или от попыток получить доступ к системе со скрытым IP адресом.
Требовать IP адрес и данные User Agent при публикации комментариев?
Подобно предыдущей опции, если включено, то требуется предоставление IP адреса и информация user agent для публикации комментариев.
Включить блокировку учетных записей?
Если установлено "Да", система блокирует учетную запись пользователя, если выполнено более четырех попыток авторизации, в пределах указанного периода времени (см. следующую настройку). Это опция разработана для того, чтобы сдерживать атаки хакеров, основанные на переборе простых паролей. Учетная запись блокируется на определенный период времени. После окончания указанного периода блокировка с учетной записи автоматически снимается.
Временной интервал для блокировки
Эта установка используется вместе с предыдущей настройкой. Здесь вы можете определить временной интервал, в минутах, в течение которого четыре попытки неправильного ввода пароля вызовут блокировку учетной записи. Вы можете использовать десятичные дроби, чтобы указать доли минуты: например 1,5 это полторы минуты.
Требовать использование безопасных паролей?
Если установлено "Да", то пользователи будут обязаны выбирать минимально "безопасный" пароль. В этом случае пароль должен содержать, по крайней мере, один символ верхнего регистра, один символ нижнего регистра, и один числовой символ. Пароли, которые создаются по этому шаблону, гораздо труднее подобрать случайно.
Разрешить пароли, содержащиеся в словаре?
Если установить "Нет", то пользователям будет запрещено выбирать свой пароль, с использованием слов и названий, которые находятся в словаре. Эта настройка значительно затруднит хакерам "атаки по словарю". Примечание: Чтобы использовать эту функцию у вас должен быть установлен файл словаря для системы. Смотрите ниже.
Имя файла словаря
Имя файла словаря, который используется в предыдущей настройке.
Вы можете загрузить файл словаря на 23 000 слов, с сайта ExpressionEngine.com. Просто разархивируйте файл после загрузки и поместите текстовый файл (dictionary.txt) в следующем каталоге на вашем сервере:
system/dictionary/
Введите имя файла в этой настройке.
Минимальная длина логина
Вы можете определить минимальную длину, для логина пользователя для регистрации нового пользователя. Определяет минимально-необходимое количество символов.
Минимальная длина пароля
Вы можете определить минимальную длину, необходимую для пароля во время регистрации нового пользователя. Определяет минимально-необходимое количество символов. Общая практика, требовать длину паролей, по крайней мере, восемь (8) символов.