Уважаемые пользователи!
Напоминаем, что с 7 ноября 2020 года phpBB Group прекратила выпуск обновлений для phpBB версии 3.2.
С учетом этого, рекомендуется обновить конференции до версии 3.3.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до отдельного объявления.

Железная защита форума при помощи .htaccess & .htpasswd

Темы по наиболее часто задаваемым вопросам по phpBB 2.0.x. Читать в первую очередь!
Alexalexis
phpBB 1.4.4
Сообщения: 183
Стаж: 15 лет 4 месяца

Сообщение Alexalexis »

Попробуйте для совсем уж полной уверенности переспросить ещё пару раз с самоцитатой. :D
Аватара пользователя
incubus
phpBB 2.0.1
Сообщения: 255
Стаж: 15 лет 7 месяцев

Сообщение incubus »

Alexalexis
:) Уже не буду. Благодарю, разобрался.
Alexalexis писал(а):Попробуйте для совсем уж полной уверенности переспросить ещё пару раз с самоцитатой.
incubus писал(а):просто хочу разобраться, ведь это касается безопасности.
Аватара пользователя
Red Lynx
phpBB 1.2.0
Сообщения: 12
Стаж: 15 лет 5 месяцев

Сообщение Red Lynx »

Здравствуйте.
Вопрос мой, вероятно, глуп, но все же задам его.

Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ. А для этого (опять же, если я все верно поняла) мне нужно знать эти самые пароли.

Вопрос: откуда их, собственно, брать? Где лежат пароли в базе данных, я знаю, но там они в зашифрованном виде - годится ли взять их в таком виде и потом зашифровать еще раз?..
Или спрашивать с каждого пароль? %)

Спасибо.

Версия phpBB: 2.0.22
Используемые шаблоны: Appalachia, SubSilver
Используемые моды: Admin Userlist 2.0.2, Detector Bots 2.0.6, Stop Advertisement bots
Версия PHP: 4.3.10
Используемая СУБД и её версия: MySQL 4.0.27-max-log
Есть ли у вас тестовый аккаунт: нет
Использовался ли поиск для решения проблемы: поиск нет, несколько раз читала этот топик.
Steuer
phpBB 1.2.0
Сообщения: 10
Стаж: 15 лет 4 месяца
Откуда: Россия, МО, г. Пушкино

Сообщение Steuer »

Red Lynx писал(а):Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ.
Нет. Этот пароль можно дать один на всех.

Добавлено спустя 2 минуты 15 секунд:

Сделать одну пару логин-пароль и сообщить её всем своим админам и модерам.
Аватара пользователя
Red Lynx
phpBB 1.2.0
Сообщения: 12
Стаж: 15 лет 5 месяцев

Сообщение Red Lynx »

Steuer
Спасибо огромное за ответ.

Если можно, еще небольшое уточнение.
Этот логин-пароль может быть каким угодно, то есть, не связанным с базой данных? Или его нужно неким образом в БД прописывать?
Steuer
phpBB 1.2.0
Сообщения: 10
Стаж: 15 лет 4 месяца
Откуда: Россия, МО, г. Пушкино

Сообщение Steuer »

Red Lynx
опять же в целях безопасности он должен быть
Red Lynx писал(а):не связанным с базой данных
И вообще базу данных лишний раз трогать не надо ;)
Аватара пользователя
Red Lynx
phpBB 1.2.0
Сообщения: 12
Стаж: 15 лет 5 месяцев

Сообщение Red Lynx »

Steuer
Большое Вам спасибо.
NCom
phpBB 2.0.11
Сообщения: 810
Стаж: 16 лет 4 месяца
Откуда: Ставрополь
Забанен: Бессрочно

Сообщение NCom »

люди, а вот взгляните содержимое данного файла. Моим непонимающим в этом взглядом, видно что что-то лишнее... Пожалуйста расскажите что с содержимым? или все в порядке?

Код: Выделить всё

DirectoryIndex portal.php

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

AddDefaultCharset windows-1251
Аватара пользователя
PhoeNiXX
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 5 месяцев
Откуда: Питер

Сообщение PhoeNiXX »

WingLion писал(а): Файл posting.php содержит средства, пользуясь которыми, неленивый взломщик может удалять чужие мессаги по
одной..........
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.
Люди, в итоге, кто-нибудь разобрался как это реализовать, чтобы все это работало?
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 4963
Стаж: 17 лет 4 месяца
Откуда: Питер
Благодарил (а): 153 раза
Поблагодарили: 658 раз

Сообщение Siava »

PhoeNiXX
изменить posting на что угодно во всех файлах форума, где он упоминается. Что тут сложного?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x, 3.1.x 3.5.x)
Аватара пользователя
PhoeNiXX
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 5 месяцев
Откуда: Питер

Сообщение PhoeNiXX »

Siava писал(а):изменить posting на что угодно во всех файлах форума, где он упоминается
Тогда в чем будет смысл переименовывания файла posting.php? :shock: Смысл же был такой - все пользуются измененным файлом posting.php
WingLion писал(а):Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
А чтобы
WingLion писал(а):...админы могли сами модерить, нужно записать исходную версию файла под другим именем.
Так вот, допустим, мы изменили posting.php, как описывалось выше, а оригинальный posting.php (который дает возможность модеру=админу удалять чужие сообщения) - назвали blah-blah.php - так вот как с помощью этого blah-blah.php удалить чужой пост :?: При нажатии на иконку удалить пост - вызывается файл posting.php, в котором запрещена функция удаления чужих постов - и выдается сообщение об отсутсвии прав удаления :!: если после этого в строке браузера подменить слово posting.php на blah-blah.php - то выходит окно подтверждения - типа "точно удалить сообщение ДА и НЕТ" - жмешь ДА и и выдается сообщение об отсутсвии прав удаления. Вот в чем загвоздка-то
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 4963
Стаж: 17 лет 4 месяца
Откуда: Питер
Благодарил (а): 153 раза
Поблагодарили: 658 раз

Сообщение Siava »

PhoeNiXX
Начнём с того, каким образом с помощью posting.php можно удалять чужие сообщения?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x, 3.1.x 3.5.x)
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 17 лет 10 месяцев
Откуда: Бердск

Сообщение crash »

PhoeNiXX
меняете имя файла в адресной строке.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 4963
Стаж: 17 лет 4 месяца
Откуда: Питер
Благодарил (а): 153 раза
Поблагодарили: 658 раз

Сообщение Siava »

P.S.
куда пропала кнопка редактирования сообщений?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x, 3.1.x 3.5.x)
Аватара пользователя
PhoeNiXX
phpBB 1.4.0
Сообщения: 31
Стаж: 14 лет 5 месяцев
Откуда: Питер

Сообщение PhoeNiXX »

Siava писал(а):каким образом с помощью posting.php можно удалять чужие сообщения?
Если кулхацкер получит доступ к аккаунту админа или модератора (даже если доступ к админке и модер-панели защищены .htaccess) - он сможет удалять сообщения по-одному. См первый пост здесь: http://www.phpbbguru.net/community/view ... c&start=60
crash писал(а):меняете имя файла в адресной строке.
не получается, см. мой пост выше. т.к. выдается окно подтверждения удаления - нажатие кнопки ОК ведет к старому posting.php и удаления не происходит.

Вернуться в «FAQ (phpBB 2.0.x)»