всем привет!
 
интересуют методы защиты административного раздела. проект самописный. пошарил по инету и только поставил пароль на админ директрию посредствам htpasswd и htaccess. по ip привязку не делал, немного не подходит.
 
достаточна ли эта мера? что нужно сделать для максимальной безопасности? нужно ли как то скрывать раздел от роботов?
 
интересны советы и\или ссылки на эту тематику.  

если ссылок нет на админку и папка называется не admin/admins то роботы идут лесом
защищать по ИП стоит только важную финансовую информацию. Админки визиток никому не упали
по ИП тоже делается через htaccess

Faster, пасиб за ответ.
ссылок на админку нет и папка называется никак не рядом с admin
пока сделал так:
запрет на индексацию админ дериктории -> защита на чтение robot.txt -> пароль на админ дерикторию
есть ли дополнительные методы если допустить, что у меня там важная фин. инфа?
так же не посоветуете хорошую литературу по этой тематике?
мне важно понять механизм, хоть и пишу админку визитки )  

Juriy, а как насчет кук?

ну кагбэ авторизация по паролю и всё такое

Juriy

Faster, пасиб за ответ.
запрет на индексацию админ дериктории -> защита на чтение robot.txt -> пароль на админ дерикторию

Это как вообще в связке возможно? Я про то, что запретить индексовать админскую директорию, потом защита на чтение робота - и сделать это все без упоминания админской директории в самих этих файлах?

обычно при авторизации пользователю вешают куку (например ид) и пишут в сессию (например же ид)
и при работе с админкои сверяют сессию с кукои - если сошлось то все ок если нет, то это злобыи хакер вася из 8г и пошолоннах
 
зы: тупо ид в куку писать не стоит, это так для примера,
и когда куку вешаешь ставишь параметр отдавать только по хттп запросу (7 парамет если память не  ....) у сессии тож такои  параметр есть- стоит поставить (а то некоторые любят себе яндекс бары ставить а потом сессии в топе яднекса висят)))
 
а вообще если безопасность нужна , то - https/ssl только для него нужен отдельныи ип

правда что ли?