Железная защита форума при помощи .htaccess & .htpasswd

[Alexalexis]

Попробуйте для совсем уж полной уверенности переспросить ещё пару раз с самоцитатой.

[incubus]

Alexalexis
Уже не буду. Благодарю, разобрался.

Попробуйте для совсем уж полной уверенности переспросить ещё пару раз с самоцитатой.

просто хочу разобраться, ведь это касается безопасности.

[Red Lynx]

Здравствуйте.
Вопрос мой, вероятно, глуп, но все же задам его.

Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ. А для этого (опять же, если я все верно поняла) мне нужно знать эти самые пароли.

Вопрос: откуда их, собственно, брать? Где лежат пароли в базе данных, я знаю, но там они в зашифрованном виде - годится ли взять их в таком виде и потом зашифровать еще раз?..
Или спрашивать с каждого пароль? %)

Спасибо.

Версия phpBB: 2.0.22
Используемые шаблоны: Appalachia, SubSilver
Используемые моды: Admin Userlist 2.0.2, Detector Bots 2.0.6, Stop Advertisement bots
Версия PHP: 4.3.10
Используемая СУБД и её версия: MySQL 4.0.27-max-log
Есть ли у вас тестовый аккаунт: нет
Использовался ли поиск для решения проблемы: поиск нет, несколько раз читала этот топик.

[Steuer]

Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ.

Нет. Этот пароль можно дать один на всех.

Добавлено спустя 2 минуты 15 секунд:

Сделать одну пару логин-пароль и сообщить её всем своим админам и модерам.

[Red Lynx]

Steuer
Спасибо огромное за ответ.

Если можно, еще небольшое уточнение.
Этот логин-пароль может быть каким угодно, то есть, не связанным с базой данных? Или его нужно неким образом в БД прописывать?

[Steuer]

Red Lynx
опять же в целях безопасности он должен быть

не связанным с базой данных

И вообще базу данных лишний раз трогать не надо

[Red Lynx]

Steuer
Большое Вам спасибо.

[NCom]

люди, а вот взгляните содержимое данного файла. Моим непонимающим в этом взглядом, видно что что-то лишнее... Пожалуйста расскажите что с содержимым? или все в порядке?

Код: Выделить всё

DirectoryIndex portal.php

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

AddDefaultCharset windows-1251

[PhoeNiXX]

Файл posting.php содержит средства, пользуясь которыми, неленивый взломщик может удалять чужие мессаги по
одной..........
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.

Люди, в итоге, кто-нибудь разобрался как это реализовать, чтобы все это работало?

[Siava]

PhoeNiXX
изменить posting на что угодно во всех файлах форума, где он упоминается. Что тут сложного?

[PhoeNiXX]

изменить posting на что угодно во всех файлах форума, где он упоминается

Тогда в чем будет смысл переименовывания файла posting.php? Смысл же был такой - все пользуются измененным файлом posting.php

Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )

А чтобы

...админы могли сами модерить, нужно записать исходную версию файла под другим именем.

Так вот, допустим, мы изменили posting.php, как описывалось выше, а оригинальный posting.php (который дает возможность модеру=админу удалять чужие сообщения) - назвали blah-blah.php - так вот как с помощью этого blah-blah.php удалить чужой пост При нажатии на иконку удалить пост - вызывается файл posting.php, в котором запрещена функция удаления чужих постов - и выдается сообщение об отсутсвии прав удаления если после этого в строке браузера подменить слово posting.php на blah-blah.php - то выходит окно подтверждения - типа "точно удалить сообщение ДА и НЕТ" - жмешь ДА и и выдается сообщение об отсутсвии прав удаления. Вот в чем загвоздка-то

[Siava]

PhoeNiXX
Начнём с того, каким образом с помощью posting.php можно удалять чужие сообщения?

[crash]

PhoeNiXX
меняете имя файла в адресной строке.

[Siava]

P.S.
куда пропала кнопка редактирования сообщений?

[PhoeNiXX]

каким образом с помощью posting.php можно удалять чужие сообщения?

Если кулхацкер получит доступ к аккаунту админа или модератора (даже если доступ к админке и модер-панели защищены .htaccess) - он сможет удалять сообщения по-одному. См первый пост здесь: http://www.phpbbguru.net/community/view ... c&start=60

меняете имя файла в адресной строке.

не получается, см. мой пост выше. т.к. выдается окно подтверждения удаления - нажатие кнопки ОК ведет к старому posting.php и удаления не происходит.