То есть, единственная опасность - что админ может узнать пароль? При такой передаче - разве может кто-то извне, из числа других пользователей форума получить доступ? (ну кроме подглядывания через плечо ) Если да - то как?svk писал(а):Хотябы потому что в access.log залогируется
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Автологин в виде ссылки
-
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 17 лет 11 месяцев
- Откуда: Крым
-
- phpBB Guru
- Сообщения: 5484
- Стаж: 20 лет 1 месяц
- Поблагодарили: 2 раза
-
- Former team member
- Сообщения: 582
- Стаж: 19 лет 3 месяца
- Откуда: Москва
далеко не единственная!Azlab писал(а):То есть, единственная опасность
самое простое - это то что весь url вместе с логином и паролем будет в истории ссылок броузера. особенно приятно посетить ресурс с такой авторизацией из интернет салона какого-нибудь...
есть еще множество последствий, которыми можно воспользоваться не только админу такого ресурса...
выделенный сервер по цене обычного хостинга - менее 150 рублей в месяц
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
-
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 17 лет 11 месяцев
- Откуда: Крым
Взлом - это понятно. Если взломают - то могут и вообще всю БД форума удалить. Насчет ссылок в истории браузера - это тоже очевидно. Так же как и то, что кто то может подсмотреть через плечо как выглядит УРЛ: это личная безопасность юзера, и в инструкции пользования этой возможностью - это оговаривается. Просто обсуждение носило такой характер (в частности был топик "дайте ка мне адрес форума где используется?") что как бы намекало что есть некий простой способ любому серферу получить чужой УРЛ по которому он попал на форум. Как я понимаю - это не так. И кроме крайних мер (как взлом и легкомыслие юзера) этот способ ничем не опасен? Спасибо всем за обстоятельные ответы.
-
- Former team member
- Сообщения: 582
- Стаж: 19 лет 3 месяца
- Откуда: Москва
Опасности есть. Не одна. Они реальны. Перечислять их я не буду! Но, конечно не у "любого" серфера мозгов хватит - только у хотя бы чуть-чуть продвинутых...
Добавлено спустя 12 минут 1 секунду:
Хмм... меня глючит или действительно топик на такую же тему (где я распинался на предмет опасности) куда-то исчез?
Добавлено спустя 12 минут 1 секунду:
Хмм... меня глючит или действительно топик на такую же тему (где я распинался на предмет опасности) куда-то исчез?
выделенный сервер по цене обычного хостинга - менее 150 рублей в месяц
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
-
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 17 лет 11 месяцев
- Откуда: Крым
-
- phpBB 2.0.3
- Сообщения: 384
- Стаж: 18 лет 10 месяцев
- Откуда: Москва, Fortuna-net
-
- phpBB 1.0.0
- Сообщения: 6
- Стаж: 17 лет 11 месяцев
- Откуда: Крым
Гм... Да, действительно, об этом не подумал... То есть зломышленнику достаточно запостить что либо с ссылкой на свой сайт где он это поле прочитает. А есть ли возможность сделать так: после входа таким методом - переопределить referer? Интересуюсь не только для такого метода, но и для того чтобы знать: могу ли я скрыть от скрипта на каком либо сайте откуда я пришел?svk писал(а):если он залогинится и тутже перейдет по ссылке на другой сайт то в http заголовке в поле referer зафиксируется адресная строка, с логином и паролем 8)
-
- Former team member
- Сообщения: 582
- Стаж: 19 лет 3 месяца
- Откуда: Москва
Azlab, проблема не только в refer'ах. Мало того в них наименьшая проблема, поскольку сразу после login происходит редирект на сам форум. Что уже уменьшает критичность моего второго решения... но не сильно в случае интегрированных портальных систем, вывода последних постов на главную, и т.д.
referer передается вашим броузером и вы можете запретить ему это делать...
Кроме referer'ов, для хулиганов есть еще множество способов получить username & password из ранее посещенных url...
P.S. Здесь не тот форум где стоит пытаться выудить уязвимости! Вам сказали есть, значит есть...
referer передается вашим броузером и вы можете запретить ему это делать...
Кроме referer'ов, для хулиганов есть еще множество способов получить username & password из ранее посещенных url...
P.S. Здесь не тот форум где стоит пытаться выудить уязвимости! Вам сказали есть, значит есть...
выделенный сервер по цене обычного хостинга - менее 150 рублей в месяц
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
Благодарности принимаются в Яндекс.Деньгах на счет 4100143316948
-
- phpBB 1.0.0
- Сообщения: 7
- Стаж: 17 лет 3 месяца
http://forum.s-c.ru/login.php?username= ... ord=ПАРОЛЬ
а как обезопасить данны автологин? или как сделать автологин для мобильного телефона на форуме это для удобстава пользователей, потому что я как понял форум может хранить куки пользователей там это есть в настройках форума а проблема в том что на мобильном сделать закладку и постоянно с нее заходить хранение куки в мобильном это наверное не пк, брр надеюсь вы меня поняли то что я хотел узнать.
и еще о безопасности что б исклучить возможность получение автологина пользуются очисткой куки или перенаправлением на отдельную страницу а уж потом на ту ссылку которую нажал пользователь а как это они делают интиресно....
а как обезопасить данны автологин? или как сделать автологин для мобильного телефона на форуме это для удобстава пользователей, потому что я как понял форум может хранить куки пользователей там это есть в настройках форума а проблема в том что на мобильном сделать закладку и постоянно с нее заходить хранение куки в мобильном это наверное не пк, брр надеюсь вы меня поняли то что я хотел узнать.
и еще о безопасности что б исклучить возможность получение автологина пользуются очисткой куки или перенаправлением на отдельную страницу а уж потом на ту ссылку которую нажал пользователь а как это они делают интиресно....
-
- phpBB 1.4.4
- Сообщения: 106
- Стаж: 17 лет 3 месяца
- Откуда: Курск
-
- Former team member
- Сообщения: 3942
- Стаж: 18 лет 11 месяцев
- Откуда: Оренбург (Южный Урал)
- Благодарил (а): 3 раза
Leviafant, глаза разуем, да. Обсуждается вопрос по двойке.
зы Хрен знает, как эта тема в Локализация phpBB 2.0.x оказалась.
зы Хрен знает, как эта тема в Локализация phpBB 2.0.x оказалась.
Профессионал - тот же дилетант, только знающий, где ошибётся.
Генератор db_update.php для phpBB2 с некоторыми удобствами. Многие моды я беру или ищу здесь, здесь, тут
Все консультации только на форуме, приваты и стук в аську по таким вопросам игнорируются!
FAQ-phpBB3 | Ошибки новичков, или как не поссориться с модератором | Правила конференции
наш форум http://forum.aeroion.ru/cat1.html
Генератор db_update.php для phpBB2 с некоторыми удобствами. Многие моды я беру или ищу здесь, здесь, тут
Все консультации только на форуме, приваты и стук в аську по таким вопросам игнорируются!
FAQ-phpBB3 | Ошибки новичков, или как не поссориться с модератором | Правила конференции
наш форум http://forum.aeroion.ru/cat1.html