[dmitrij2009]

Доброго дня суток всем. Хотелось бы сообщить создателям phpbb 3 то что есть уязвимость при создании запароленного форума - раздела.

Дело в том что при создании нового раздела можно устанавливать пароль, что есть хорошо! но!? есть одна проблема, сегодня я решил создать новый раздел в форуме и установить на него пароль, чтоб доступ туда имели только те у кого есть этот пароль т.е избранные.

После того как я создал новый раздел с паролем, я установил на него права т.е доступ для Админов полный, для Модераторов полный, доступ для бота закрыт, для гостей - только для чтения, ну и для зарегистрированных пользователей - стандартный доступ с опросами, с виду как бы всё хорошо)) вводить пароль нужно не только пользователям но и модераторам и администраторам.

Так как я малость любопытный я решил надуть сам себя)) зарегистрировался у себя на форуме под новым ником, зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда и нашел выход)) выход прост! нужно всего лишь зайти в профиль любого человека у которого есть доступ к этому разделу и нажать на ссылочку "Найти сообщения пользователя" нажимаем на неё и нам выпадает список сообщений пользователя)) нажимаем на его любой пост и попадаем в запароленный раздел без всякого ввода пароля))

Теперь вопрос, что это? - баг, глюк, недоработка, просто пропустили это, или это только у меня так?)) спасибо.

[Maximov]

Думаю просто путаница с понятиями скрытый раздел и закрытый раздел...

[Палыч]

dmitrij2009 писал(а):что это? - баг, глюк, недоработка, просто пропустили это, или это только у меня так?))

Последнее: только у вас.
Можно согласиться и с Maximov

Maximov писал(а):Думаю просто путаница с понятиями

правда не со скрытый и закрытый, а просто не понимание, как всё работает.

dmitrij2009 писал(а):После того как я создал новый раздел с паролем

Смотря что понимать под "разделом". Если раздел - это категория, то установка пароля на неё имеет мало смысла, ибо он действует только на данную категорию, не включая форумы и подфорумы этой категории. Это правило относится и к форуму (пароль не распространяется на подфорумы данного форума).

dmitrij2009 писал(а):зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда

Следует помнить, что за одну сессию достаточно один раз войти в запороленное пространство, чтобы потом входить туда без повторного запроса пароля. Запрос пароля вновь будет инициализирован только после разлогинивания.

dmitrij2009 писал(а):нужно всего лишь зайти в профиль любого человека у которого есть доступ к этому разделу и нажать на ссылочку "Найти сообщения пользователя" нажимаем на неё и нам выпадает список сообщений пользователя))

Выводятся только сообщения, который может видеть данный пользователь с существующим уровнем прав доступа. Сообщения с запороленного форума, если пользователь в течении сессии ещё не заходил в запороленный форум, выведены не будут.

[crash]

а в чем уязвимость? Вас взломали через нее?

[dmitrij2009]

Судя по ответу Палыча сразу видно не читал с желанием понимать, или скорее было желание выставить меня дураком, наверно...

приведу пример, цитирую происходящие...

Палыч писал(а):

dmitrij2009 писал(а):зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда

Следует помнить, что за одну сессию достаточно один раз войти в запороленное пространство, чтобы потом входить туда без повторного запроса пароля. Запрос пароля вновь будет инициализирован только после разлогинивания.

Палыч Вы случаем в желтой прессе не работаете? странно как-то Вы сделали цитату моего текста!

Если почитать нормально и процетировать полностью то что я написал (выделил красным) то помоему всё понятно

Так как я малость любопытный я решил надуть сам себя)) зарегистрировался у себя на форуме под новым ником, зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда и нашел выход)) выход прост! нужно всего лишь зайти в профиль любого человека у которого есть доступ к этому разделу и нажать на ссылочку "Найти сообщения пользователя" нажимаем на неё и нам выпадает список сообщений пользователя)) нажимаем на его любой пост и попадаем в запароленный раздел без всякого ввода пароля))

А вообще проехали, вижу что это мало кого интересует! да и мне это не особо нужно - из всех ответов можно заметить только одно "ребячество" нет чтоб проверить на себе прежде чем отвечать в теме, так нет надо показать какие мы умные а все остальные дураки.

Всего хорошего, и спасибо за ответы...

[rxu]

dmitrij2009
Браузер у вас случайно не FF3?

Добавлено спустя 6 минут 54 секунды:
Проверил - не смог повторить данный фокус. При поиске сообщений пользователя через профиль сообщения из запароленного форума вообще не показаны в результатах.

[crash]

dmitrij2009 писал(а):арегистрировался у себя на форуме под новым ником, зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда

что в вашем понимании потыркался туда? У Палыча это скорее всего означает что вы вошли в форум введя пароль

[Палыч]

dmitrij2009 писал(а):не читал с желанием понимать, или скорее было желание выставить меня дураком

Отнюдь.
Просто внимательно прочитал ваш пост.

dmitrij2009 писал(а):зарегистрировался у себя на форуме под новым ником, зашел в запароленный раздел где соответственно нужно было вводить пароль)) по тыркался туда и нашел выход))

То есть, вы под новым НИКом зашли в запароленный раздел (ввели пароль и вошли в раздел, иначе не ясно, где там можно "по тыркаться туда" на странице ввода пароля).

dmitrij2009 писал(а):из всех ответов можно заметить только одно "ребячество"

Ребячество - ваша аватара.

dmitrij2009 писал(а):нет чтоб проверить на себе прежде чем отвечать в теме

Неоднократно писАл: отвечаю только тогда, когда лично проверил, поскольку не считаю себя мастером в phpbb. Стараюсь строго придерживаться Правил, п.2.9 , в отличие от вас.