您在這裡

有什么辦法能夠是一個用戶完全的隱身

vaccy's 的頭像
vaccy 在 2007-04-21 (週六) 13:13 發表

處于安全需要,我想使管理員的帳戶設為不可見,誰都看不到,這樣比較安全

差不多這個意思吧,比如我上線了,但是別人在在線用戶里面看不到我,也查詢不到我這個用戶。
順便再問一個問題啊,在用戶登錄后,那個用戶區塊里面沒有“我的帳戶”這個選項,怎么把它調出來?

vaccy

* 最新文章
* 我的帳號 (!!!!就是這個)
* 建立內容
* 登出

以下是個人的淺見...
要讓管理者看不見有兩種想法,一種就是如原po所說的「看不到」也「不能查」。另一種則是「讓管理者『混在人群中』」。
我覺得 Druapl 可以作到第二點,沒有強制要求管理者的帳號要取什麼名字。它只認 UID 為 0 的帳號。
除非你去弄了一個顯示所屬群組的模組,讓別人看到你的群組就知道你是「站長群」之類的身分。不然別人只知道有個人上線了,不知道你是什麼身分。只看得到帳號名稱,看不到 UID 。
(就像我一直不知道這個站的站長是誰.... 也許是我沒有 cracker 的資質...)

要是真的有人用暴力破解,或是花時間去算每個人註冊的時間(管理者的通常是註冊最久的)。那真的只能佩服這個人的耐性。
而暴力猜密碼,印象中好像有這樣的模組吧!可以鎖住這個人的IP一段時間,讓他不能再猜密碼。

在時間和花費的代價是無限的條件之下,沒有破不了的密碼,沒有攻不破的城堡。
而應該反思的... 是怎麼有限的提高破解的難度,讓想破解的人「知難而退」或是「失去興趣」。
實際上,破壞者不是無限多,也不是每個都有閒情去破一個沒有「價值」的小站。

好吧!! 我承認這是很多人都有提出過的想法... 只是由我的手整理一下PO出來... 給你作個參考。

如果是要提供給所有的用戶「隱身上線」的功能,當然是另一個情況囉~~ 和原 po 的要求不太一樣,不知道有沒有這樣的模組....

我只是一個撰碼員,靠寫程式過活。
自從 Drupal 在 4.7 版的時候知道他的存在,但是後來跳去其它程式語言很久沒回來。
變成 D5 比較熟,D6 知道一點,D7 還在學的狀況…

咦!? 真的耶~~ 的不過是輸入user/1查到的... 沒想到在二樓就有說明,看來我真的沒有作cracker的資質。

或者.... 可以用笨一點的方法... 把管理者"停用"... 開另一個帳號和另一個群組,把所有的權限都開給他。
這個「另一個帳號」就可以大方的"混入人群"裡了...

或者是你程式很強,可以去改user模組,讓管理者登入一定只能從某個特定的IP,技術上是可以作得到,不過你就只能在特定的地方登入了。

個人是覺得,帳號密碼本身就是一道牆,換另一個帳號又是另一道牆,鎖IP也是一道牆。
牆越多當然是越安全,不過自己用起來也就越麻煩。

再說囉~~ 就算知道你管理者的帳號又如何?只要密碼夠難猜到,不定時換換密碼,就已經夠難被猜到了。
真的強一點的 cracker 就算找不到你的 Drupal 帳號,只要能破到你的資料庫,或是看到你的 config 檔,也是一切全毀吧!!

如果你覺得有必要,當然還是可以作。

也許去找全帳號都能用的「隱身上線」功能的模組比較容易吧!當然你會的話,改改"線上使用者"的程式也行(也許這個還比較快)。

我只是一個撰碼員,靠寫程式過活。
自從 Drupal 在 4.7 版的時候知道他的存在,但是後來跳去其它程式語言很久沒回來。
變成 D5 比較熟,D6 知道一點,D7 還在學的狀況…

改改"線上使用者"的程式:
<?php
//user.module line584
$authenticated_users = db_query('SELECT u.uid, u.name FROM {users} u INNER JOIN {sessions} s ON u.uid = s.uid WHERE s.timestamp >= %d AND s.uid > 1 AND u.uid != 0 ORDER BY s.timestamp DESC', $interval);
?>

但這做法只會令人看不到你上線
算不上隱身吧

Joetsui's blog