AntonKuzmin Sep 5 2015 at 15:27

ReCaptcha в PhpMyAdmin — активация, обход и фикс

1 min

18K

Comments 14

Suvitruf Sep 5 2015 at 15:34

Совсем недавно, копаясь в коде PhpMyAdmin, обнаружил давно присутствующий в нём (судя по changelog) механизм captcha при авторизации.

Так есть же описание в документации.

AntonKuzmin Sep 5 2015 at 16:04

Описание то есть, но сколько лет использую pma ни разу даже не слышал о том, что такой функционал существует. Поспрашивал у знакомых веб-мастеров — те тоже не знали. Всю жизнь просто распаковывали и пользовались. Максимум конфиг редактировали по комментариям из него же. В итоге решил проверить, а оказалось что баг нашёл :)

-1

gibson_dev Sep 5 2015 at 23:48

Вообще не думаю что это баг, просто такой алгоритм работы. А вообще документация рулит, а то вы словно Америку открыли. Ну и так — добить, «не большую» — пишется слитно.

vedenin1980 Sep 6 2015 at 01:02

Согласен, это не баг, а фича, точнее компромисс между удобством и паранойей. Во-первых, китайцы достаточно дешево вручную разгадывают капчи, во-вторых, от переборов существуют специальные системы, блокирующие слишком частые запросы на определенные url, и хитросгенерируемые пароли, вида aК5#f%s@f7RL*9.

AntonKuzmin Sep 6 2015 at 09:11

О том что какой-то сервис разгадывания работает с reCaptcha я никогда не слышал. Если это так, то всё куда хуже чем я думал) Хорошие пароли всегда являлись отличной защитой от подбора, но не всегда мы сами можем контролировать какой пароль на свою БД ставит рядовой пользователь совместного хостинга например.

vedenin1980 Sep 6 2015 at 15:52

Вручную можно разгадать любую капчу, другое дело что такие сервисы относительно недешевые около 50 центов за 1 тыс., но при наличии денег и желания это не проблема.

AntonKuzmin Sep 6 2015 at 18:56

На сколько мне известно, передача именно reCaptcha на сторону такого сервиса является пока нерешённой проблемой. Там ведь механизм прост — получил картинку на сайте, перешли в виде файла на сервис распознавания по API и жди ответа сервера с фразой распознанной человеком. А reCaptcha мало того что динамична, так ещё и видоизменяться может (кликнул на галочку, потом может показаться фрейм с выбором изображений).

arvitaly Sep 6 2015 at 06:30

А зачем вообще оставлять открытый доступ к PhpMyAdmin?

AntonKuzmin Sep 6 2015 at 09:09

Ситуации разные бывают, порой это необходимая мера. Я сам сторонник жёстко лимитированного доступа к инструментам администрирования, но всё равно имеется пара серверов на которых доступ к таким инструментам необходим в любое время и с любого устройства.

UFO just landed and posted this here

AntonKuzmin Sep 6 2015 at 14:56

Смотря какой клиент. В чём-то может безопаснее, но не со всяким удобнее. Опять же, ситуации разные бывают. Иногда может понадобится с телефона срочно зайти с плохой связью и выполнить пару запросов вбиваемых руками. Тут PMA как раз хорошо выручит.

vedenin1980 Sep 6 2015 at 15:58

Можно закрывать url PhpMyAdmin с помощью пароля на http_access, тогда чтобы потребуется подобрать аж два пароля, а учитывая что пароль на http_access может быть сохранен в браузере это будет куда удобнее чем постоянно вводить капчу (особенно на мобильных устройствах).

akshakirov Sep 6 2015 at 22:21

Не столько можно, сколько — нужно! Учитывая что PhpMyAdmin забывают обновлять, а потом находятся дыры в скриптах.

Во всяком случае я постоянно вижу в логах перебор разных скриптов в папках /pma/* /phpMyAdmin/* и подобных.

maximw Sep 6 2015 at 09:44

Было бы круче если бы вместо «грязного» хака, вы бы оформили выбор поведения капчи как настройку конфигурации и сделали пулл реквест в проект.

Show the best of all time