Надёжная авторизация для веб-сервиса за один вечер / Хабр

Надёжная авторизация для веб-сервиса за один вечер / Хабр Хостинг

Бесплатная почта для вашего домена: электронная почта для домена | timeweb

Компания Timeweb предлагает различные виды хостинговых услуг и осуществляет регистрацию доменов. Мы предоставляем дисковое пространство и другие ресурсы для размещения вашего сайта, интернет-магазина, портала, форума, блога и прочих веб-проектов в сети.

Для небольших и средних проектов, которые не предполагают постоянную высокую нагрузку, вы можете выбрать доступный по цене и простой в управлении виртуальный хостинг. Для сложных проектов мы можем предложить услугу VDS-хостинга или аренду выделенного сервера.

После оплаты основной услуги – хостинга, VDS или выделенного сервера – пользователям становится доступен хостинг электронной почты. Вы сможете создать новый почтовый ящик или использовать уже существующий, подключив его к почтовой системе Timeweb.

После оплаты любого тарифа мы предоставляем услугу бесплатной электронной почты. У вас будет возможность создать почту со своим доменом вида «имя@ваш_домен.доменная зона», настроить корпоративный сервис, получать заявки от покупателей и настраивать рассылки клиентам.

Все без исключения тарифы включают в себя:

  • неограниченное число почтовых ящиков;
  • настройку рассылок/пересылок, а также автоответчика;
  • POP3, IMAP, SMTP-протоколы для работы с электронной почтой;
  • защищенный веб-интерфейс.

Вы легко сможете создать новый почтовый ящик в панели управления аккаунтом в разделе «Почта». Также через панель управления есть возможность редактировать имеющиеся почтовые ящики, менять их настройки, например, включать или отключать защиту от спама, создавать и настраивать списки рассылок.

Наш почтовый хостинг отлично работает во всех основных браузерах и на любых мобильных устройствах. Наша компания гарантирует максимальную доступность сервиса, нулевую потерю данных и круглосуточную поддержку.

При переходе с одного аккаунта Таймвэб на другой вы можете без проблем перенести доменные имена со всеми созданными на них почтовыми ящиками. Также вы можете перенести почту со стороннего хостинга.

Кроме того, мы предоставляем услугу «Антиспам», которая представляет собой комплексную защиту для вашей почты. Она обеспечивает:

  • защиту от спама;
  • защиту от фишинговых ссылок;
  • фильтрацию контента;
  • защиту от вредоносного ПО во вложениях.

Наша компания всегда поддерживает базы антиспама в актуальном состоянии: обновление выполняется в режиме реального времени. Подозрительные сообщения помещаются в карантин, где они подвергаются повторной проверке после поступления новой информации. Это обеспечивает защиту даже от неизвестного спама и повышает уровень обнаружения.

Модуль защиты от фишинговых ссылок убережет вашу почту от писем, содержащих ссылки на фишинговые сайты.

Веб-фильтр вредоносных URL-адресов производит анализ и блокировку электронных писем, которые содержат ссылки на зараженные сайты.

Услуга «Антиспам» включает в себя инструменты для обнаружения вредоносного ПО во вложениях к письмам, что позволяет обеспечить полноценную защиту вашей почты и уберечь ваши устройства от заражения.

Бесплатный хостинг в timeweb

Компания Timeweb предлагает своим клиентам надежный и высокоскоростной виртуальный хостинг – это услуга по предоставлению дискового пространства и других ресурсов для размещения сайта, интернет-магазина, портала, форума, блога и других проектов в сети интернет.

Мы размещаем ваши проекты на мощных серверах, на которые установлены все нужные для эффективной работы модули и программное обеспечение. Работа с услугой осуществляется через панель управления, причем для работы вам не требуется владение навыками администрирования сайта.

В рамках услуги виртуального хостинга проекты клиентов размещаются на одном сервере и делят между собой его вычислительные мощности. Такой сервис прекрасно подойдет для лендинга, одностраничных сайтов, блогов, интернет-магазинов, форумов.

Всё хорошо?

Почти. Данная система по-прежнему не защищает от кражи хэша из кук при открытом канале и отсутствии SSL. Кроме того, сложно обеспечить своевременную блокировку, если доступ к аккаунту утерян (особенно если взломщик уже сменил пароль). В этом случае очень помог бы сброс пароля через смс-команду с привязанного телефона — но для этого уже нужна возможность принимать и отправлять смс.

А если она есть — то можно сразу внедрить двухфакторную авторизацию, которая снимет массу проблем. Но не проблему с необходимостью в SSL — поскольку всё равно результатом любой авторизации является получение некого токена доступа, работающего ограниченное время. И этого времени может быть достаточно, чтобы сделать от нашего имени что-то, что нам не понравится.

Делегирование полномочий

Давайте попробуем создать отдельный модуль. Назовём его совершенно бесхитростно — security.php, и оформим как отдельный скрипт. Будем подключать его ко всем закрытым страницам нашего проекта в самом начале. Внутри этого файла будем анализировать некие условия, а по итогам его работы выставлять специальный флаг в 0 или 1. Пусть этот флаг будет храниться в переменных сессии (массив $_SESSION в PHP).

Что нам это даёт? Мы можем запихать в этот скрипт сколь угодно хитрую логику, вплоть до анализа последних действий пользователя и добавления его в бан-лист по IP, либо блокировки его аккаунта на тот или иной срок. Но сперва реализуем очень базовую функциональность: будем сверять значение хэша, пришедшего из куки, с тем, что должно было бы получиться, если хэш не был искажён. Сервер знает IP, знает юзер-агент, знает пароль текущего пользователя… Кажется, всё готово!

Как быть?

Очевидно, с этим надо что-то делать. Да, можно сразу бежать покупать сертификат и подключать SSL. Но можно сделать кое-что ещё до этого, и существенно снизить тем самым необходимость в нём. В конце концов, в том же ВКонтакте SSL стал принудительным всего полгода назад, а до этого как-то ведь жили.

Первое, что приходит на ум — хранить вместо пароля хэш от него. Это не особо поможет, если кто-то перехватит трафик, и не поможет при краже кук. Но вот в ситуации «кто-то открыл настройки и прошёлся по кукам, пытаясь запомнить значения» — сильно усложнит жизнь злоумышленнику.

Можно пойти дальше, и при создании хэша использовать юзер-агент. Теперь взломщику придётся использовать браузер той же версии, что и у нас (а в случае с IE ещё и с тем же набором плагинов тех же самых версий, что выходит уж очень маловероятно, особенно если взломщик не догадался подсмотреть юзер-агент).

Как установить cms в панели управления и создать сайт

Вернемся в панель управления хостингом. С установкой CMS не все так просто, как у других провайдеров. Автоматическая установка осуществляется при помощи дополнительного инструмента в панели управления.

Зайдите в раздел «Инструменты», выберите инструмент «Softaculous». Откроется новая вкладка, в которой вам предложат выбрать CMS для установки. Кликайте на иконку нужной системы, заполняйте данные и ждите, пока система установится.

Сразу уточню, что подобный способ установки CMS явно не для новичков. Если вы никогда до этого не сталкивались с «Рег Ру», то вы можете просто не догадаться, куда нажимать, чтобы установить CMS. К счастью, провайдер предоставляет подробную инструкцию.

После того, как CMS установлена, вы можете начать работу со своим первым сайтом. Вся информация о сайте и доступе к созданной базе данных будет доступна в личном кабинете.

Еще раз напоминаем, что внешний вид панели управления хостингом может отличаться в зависимости от выбранного типа панели! Если у вас возникли вопросы обратитесь в раздел «Помощи», представленные там пошаговые инструкции содержат иллюстрации для всех типов панелей и очень подробно описывают каждый шаг работы с сайтом.

Купить хостинг для сайтов, виртуальный хостинг от провайдера в россии timeweb

Стоимость тарифа — рублей в год.

Тариф включает в себя базовые опции, которые по умолчанию доступны всем клиентам Timeweb при продлении доменов:

Предыстория

Осень 2022-ого. Примерно полтора года назад, когда мне случилось стать участником разработки проекта, где пользователей существенно больше пары десятков человек, я наконец-то впервые в своей жизни задумался о надёжности авторизации.

По сути, авторизация — это то, с чего начинается процесс взаимодействия зарегистрированного пользователя с системой (для незарегистрированного пользователя всё начинается с регистрации, и эти два процесса, как вы уже догадались, очень сильно взаимосвязаны). Я внезапно осознал, что во всех проектах, что я делал до этого, с безопасностью всё очень плохо.

Стандартная реализация

Итак, сессия в PHP по умолчанию хранится в файле. Её id сохраняется в cookie (если куки отключены — задействуется механизм передачи через адресную строку, если это не отключено в конфигурации). Время жизни такой сессионной куки по умолчанию — до момента закрытия браузера (и обычно его никто не меняет).

Поэтому более продвинутые программисты реализуют галочку «запомнить меня», либо реализуют её функционал по умолчанию, без возможности отключить. Что они делают? Просто сохраняют в собственной куке айди пользователя. Но поскольку просто айди хранить как-то уж слишком стрёмно (любой может поставить любое число и получить доступ к произвольному аккаунту), то часто вместе с айди за компанию сохраняют и пароль. В открытом виде.

Если кто-то не понимает, чем это плохо — представьте себе, что у нас пользователь пользуется очень старым, либо очень плохо реализованным браузером. Мы ведь не можем гарантировать, что браузер надёжно шифрует куки? Да и вирусы всякие могут быть у пользователя на компьютере, и в случае особо серьёзной малвари может не спасти и шифровка — зловред может попытаться считать значения прямо из памяти, когда они расшифрованы.

Человек, случайно оказавшийся у вашего компьютера в ваше отсутствие — сможет просто скопировать себе все интересующие куки, и в новых браузерах этот процесс стал ещё проще. Дыры в безопасности браузера могут потенциально привести к тому, что ваша кука станет доступна стороннему сайту (да, сейчас это крайней маловероятно, но чем чёрт не шутит).

Ну и самое главное — если у нас SSL используется только при авторизации (а на остальных страницах его решили отключить ради выигрыша в скорости, либо чтобы лучше работало промежуточное кэширование)… То наш пароль всё время передаётся открытым текстом.

Услуги бесплатного хостинга

Новым пользователям мы предоставляем возможность протестировать наш хостинг бесплатно.

После того как вы зарегистрируете аккаунт на данной странице, хостинг автоматически включится в тестовом режиме. Такие бесплатные хостинги можно использовать в течение 10 дней.

За это время вы в полной мере сможете оценить преимущества наших хостинговых услуг:

  • высокую скорость загрузки сайта;
  • простую в использовании и удобную панель управления аккаунтом;
  • оперативную профессиональную помощь сотрудников технической поддержки.

Бесплатный хостинг для создания сайтов обладает теми же функциями и качествами, что и платная версия услуги, за исключением планировщика заданий Cron, а также отправки почты в любом виде – она будет недоступна как средствами PHP-скрипта, так и с отдельного почтового ящика.

Наш тестовый хостинг предельно прост в управлении и поддерживает HTML, PHP и MySQL. Для работы с ним вам необязательно обладать специальными знаниями – чтобы разобраться с разработанной нами инновационной панелью управления хостингом достаточно базовых знаний в управлении компьютером.

Оцените статью
Хостинги