Comments 14
Совсем недавно, копаясь в коде PhpMyAdmin, обнаружил давно присутствующий в нём (судя по changelog) механизм captcha при авторизации.Так есть же описание в документации.
+3
Описание то есть, но сколько лет использую pma ни разу даже не слышал о том, что такой функционал существует. Поспрашивал у знакомых веб-мастеров — те тоже не знали. Всю жизнь просто распаковывали и пользовались. Максимум конфиг редактировали по комментариям из него же. В итоге решил проверить, а оказалось что баг нашёл :)
-1
Вообще не думаю что это баг, просто такой алгоритм работы. А вообще документация рулит, а то вы словно Америку открыли. Ну и так — добить, «не большую» — пишется слитно.
+2
Согласен, это не баг, а фича, точнее компромисс между удобством и паранойей. Во-первых, китайцы достаточно дешево вручную разгадывают капчи, во-вторых, от переборов существуют специальные системы, блокирующие слишком частые запросы на определенные url, и хитросгенерируемые пароли, вида aК5#f%s@f7RL*9.
0
О том что какой-то сервис разгадывания работает с reCaptcha я никогда не слышал. Если это так, то всё куда хуже чем я думал) Хорошие пароли всегда являлись отличной защитой от подбора, но не всегда мы сами можем контролировать какой пароль на свою БД ставит рядовой пользователь совместного хостинга например.
0
Вручную можно разгадать любую капчу, другое дело что такие сервисы относительно недешевые около 50 центов за 1 тыс., но при наличии денег и желания это не проблема.
0
На сколько мне известно, передача именно reCaptcha на сторону такого сервиса является пока нерешённой проблемой. Там ведь механизм прост — получил картинку на сайте, перешли в виде файла на сервис распознавания по API и жди ответа сервера с фразой распознанной человеком. А reCaptcha мало того что динамична, так ещё и видоизменяться может (кликнул на галочку, потом может показаться фрейм с выбором изображений).
+1
А зачем вообще оставлять открытый доступ к PhpMyAdmin?
+2
Ситуации разные бывают, порой это необходимая мера. Я сам сторонник жёстко лимитированного доступа к инструментам администрирования, но всё равно имеется пара серверов на которых доступ к таким инструментам необходим в любое время и с любого устройства.
0
UFO just landed and posted this here
Смотря какой клиент. В чём-то может безопаснее, но не со всяким удобнее. Опять же, ситуации разные бывают. Иногда может понадобится с телефона срочно зайти с плохой связью и выполнить пару запросов вбиваемых руками. Тут PMA как раз хорошо выручит.
0
Можно закрывать url PhpMyAdmin с помощью пароля на http_access, тогда чтобы потребуется подобрать аж два пароля, а учитывая что пароль на http_access может быть сохранен в браузере это будет куда удобнее чем постоянно вводить капчу (особенно на мобильных устройствах).
+1
Было бы круче если бы вместо «грязного» хака, вы бы оформили выбор поведения капчи как настройку конфигурации и сделали пулл реквест в проект.
+3
Sign up to leave a comment.
ReCaptcha в PhpMyAdmin — активация, обход и фикс