Внимание!
Не все расширения для phpBB 3.2 совместимы с phpBB 3.3, главным образом из-за неверного синтаксиса в определениях сервисов (отсутствия обрамляющих кавычек - '...').
Перед обновлением необходимо убедиться в совместимости всех расширений.
Рекомендуется предварительно тестировать обновление на копии конференции (локально или на сервере).

Ещё раз sid в UID

Проблемы с установкой или работой phpBB 3.2.x? Получите помощь здесь!
Внимание: с 6 июля 2020 года phpBB Group прекращает поддержку phpBB версии 3.2.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2020 года.

Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Мини [FAQ] по phpBB 3.1.x/3.2.x | FAQ | Как задавать вопросы | Как устанавливать расширения

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
Аватара пользователя
Olej
phpBB 1.4.3
Сообщения: 87
Зарегистрирован: 19.02.2017 20:30
Откуда: Харьков
Благодарил (а): 19 раз
Поблагодарили: 2 раза

Ещё раз sid в UID

Сообщение Olej »

Про это уже было очень обстоятельное, но мало внятное по результату, обсуждение: Отчего зависит появление sid в адресной строке?
Но...
- во-первых, это было относительно версий 3.0.Х
- во-вторых это было 2008-2012 г.г.

Для 3.2.8/9 ситуация с параметром sid=... в командной строке, похоже, выглядит так ... как пример для одного конкретного адреса:
- если не регистрирован пользователь - https://linux-ru.ru/index.php?sid=5f2f7 ... f890a0020c
- если зарегистрирован как администратор + на админстранице - https://linux-ru.ru/adm/index.php?sid=5 ... da682&i=21
- при регистрации и на страницах форума - https://linux-ru.ru/index.php

Вопрос, в конечном итоге, один, и который так и не прояснён на 6 страницах предыдущего обсуждения, по ссылке выше: не угрожает ли явная запись значения sid= безопасности форума? не может ли сторонний злоумышленник воспользоваться sid для того, чтобы редактировать форум от имени другого, или получить доступ к административным функциям (админстранице)?

Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 14788
Зарегистрирован: 12.05.2006 18:16
Откуда: Красноярск
Благодарил (а): 356 раз
Поблагодарили: 1634 раза

Re: Ещё раз sid в UID

Сообщение rxu »

Olej писал(а):
26.02.2020 20:40
не угрожает ли явная запись значения sid= безопасности форума? не может ли сторонний злоумышленник воспользоваться sid для того, чтобы редактировать форум от имени другого, или получить доступ к административным функциям (админстранице)?
Нет.
Изображение

Вернуться в «Поддержка phpBB 3.2.x»