Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Идентификация на Форуме/доступ в Панель Администрирования.

Проблемы с установкой или работой phpBB 3.0.x? Получите помощь здесь!
С 1 января 2017 года phpBB Group прекращает поддержку phpBB версии 3.0.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.0 до 1 июля 2017 года.
Подробнее: Окончание поддержки phpBB 3.0.
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать моды

Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ;) ).
povod
phpBB 1.0.0
Сообщения: 9
Стаж: 16 лет 4 месяца

Идентификация на Форуме/доступ в Панель Администрирования.

Сообщение povod »

Скачал последний РЦ7, поставил его, все замечательно.

Первый запуск, нажимаю "Вход", ввожу пароль, Мне высвечивается сообщение, что тут нужна регистрация (как буд-то я и не входил).

Захожу снова, Ввожу пароль, ставлю Галочку о том, чтобы меня пускало Автоматом - форум меня начинает узнавать.

Пытаюсь перейти в раздел Администрирования... Меня каждый раз по новой и по новой спрашивают пароль, но в раздел Администрирования не пускают. Пароль проходит проверку, говорится что сейчас будет Редирект.. если ткнуть на Ссылку для перехода - эффект один - Поле с запросом пароля.

Помогите пожалуйста разобраться.

Ставил форум у Хостера и на Домашнем дистрибутиве Денвера.. Эффект один и тот же.

При установке форума единственный параметр, который рекомендуют переключить - Регистрация Глобальных переменных.

Ответ: в первую очередь необходимо убедиться в правильности настроек куки (cookies) на форуме, в администраторском разделе. В phpBB2 и phpBB3 правила настройки куки идентичны, читаем этот пост.
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 16313
Стаж: 17 лет 10 месяцев
Откуда: Красноярск
Благодарил (а): 533 раза
Поблагодарили: 2119 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение rxu »

forfreedom
Эта "бяка" в вашем случае совершенно не причем.
Dbonz писал(а):Уже проверил на практике через луковицу – выходит, что можно!
Я не знаю, как вы проверяли. Если бы дело обстояло так, все форумы на phpBB были бы давно взломаны. Если вам кажется, что вы первым в мире додумались подменять sid - не льстите себе ;)
В phpBB нет такой дыры в безопасности.
Изображение
Аватара пользователя
Dbonz
phpBB 2.0.0
Сообщения: 231
Стаж: 11 лет 8 месяцев
Благодарил (а): 25 раз
Поблагодарили: 25 раз

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Dbonz »

rxu писал(а):Я не знаю, как вы проверяли. Если бы дело обстояло так, все форумы на phpBB были бы давно взломаны. Если вам кажется, что вы первым в мире додумались подменять sid - не льстите себе
В phpBB нет такой дыры в безопасности.
Это шутка? Если Вам кажется, что Вы сумели проследить ход мысли оппонента – не льстите себе, делая скоропалительные выводы.
Зачем подменять, когда можно нечаянно подарить имеющийся ID сессии из-за того, что он так открыто маячит в адресной строке. На 2-ух пальцах объяснил, как, что и за чем делал и какие настройки выключил. И Вы сами подтвердили, что так можно. Конечно, сессия имеет свой срок жизни и она ясное дело просто так не заканчивается при закрытии браузера, тут либо при выходе с конференции, либо через установленное время. И ссылкой с ID исходя из этого, может воспользоваться любой желающий, если выключены эти настройки:

Проверка IP-адреса сессии: Нет
Проверка браузера: Нет
Проверять рефёрер: Нет

Весь вопрос, зачем этот ID или sid, вообще нужен в адресной строке. Понимаю, если б без кук вообще нельзя бы было зайти на конференцию, а это что? В чём защита, если сама сгенерированная ссылка является ключом?
rxu писал(а):В phpBB нет такой дыры в безопасности.
Звучит как мантра. Остаётся повторять себе это чаще и чаще… ;)
Аватара пользователя
Sheer
Former team member
Сообщения: 12113
Стаж: 17 лет 1 месяц
Откуда: Калининград не Кенигсберг
Благодарил (а): 54 раза
Поблагодарили: 2752 раза
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Sheer »

Dbonz
Что ж ты хочешь, если отключил всю защиту.
Это примерно, как уйти из дома, оставить ключ под ковриком, и сообщить об этом всему свету.
Изображение
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
Аватара пользователя
Dbonz
phpBB 2.0.0
Сообщения: 231
Стаж: 11 лет 8 месяцев
Благодарил (а): 25 раз
Поблагодарили: 25 раз

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Dbonz »

Sheer писал(а):Что ж ты хочешь, если отключил всю защиту.
Это примерно, как уйти из дома, оставить ключ под ковриком, и сообщить об этом всему свету.
Я, к примеру, как неопытный админ могу вообще ничего не хотеть. А вот "Вася" или"Петя", вполне могут быть обеспокоены угоном их акков. В данном случае им очень бы помогли куки и чистый адрес без sidов.

А по поводу проверки IP-адреса, мне, полагаю, можно и не включать, т.к. сделал так:
[РЕШЕНО] IP администратора сделать 127.0.0.1

Вот и обеспокоился. Думал, что на уровне кук будет прикрыто, а тут они вообще не нужны, как выяснилось. Ну ладно, включу проверку браузера, но и здесь странно, как Пчелкин сумел вбить моего sida и авторизироваться тут Идентификация на Форуме/доступ в Панель Администрирования.

Я-то без претензий к движку, но просто от полученной информации появились некоторые сомнения... :)
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 16313
Стаж: 17 лет 10 месяцев
Откуда: Красноярск
Благодарил (а): 533 раза
Поблагодарили: 2119 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение rxu »

Dbonz писал(а):как Пчелкин сумел вбить моего sida и авторизироваться тут
Где он там авторизовался под вами?
Dbonz писал(а):В данном случае им очень бы помогли куки и чистый адрес без sidов.
Как вы собираетесь идентифицировать пользователя, если он отключит куки в браузере?
Изображение
Аватара пользователя
Sheer
Former team member
Сообщения: 12113
Стаж: 17 лет 1 месяц
Откуда: Калининград не Кенигсберг
Благодарил (а): 54 раза
Поблагодарили: 2752 раза
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Sheer »

Dbonz
Дарю свой

Код: Выделить всё

http://www.phpbbguru.net/community/?sid=ac122a95193e99fd70d34fed12c579a4
Попробуй авторизоваться.
Изображение
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
Аватара пользователя
Dbonz
phpBB 2.0.0
Сообщения: 231
Стаж: 11 лет 8 месяцев
Благодарил (а): 25 раз
Поблагодарили: 25 раз

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Dbonz »

rxu писал(а):Где он там авторизовался под вами?
Но допустим не подо мной. но по sidu явно авторизировался, судя по тому что в шапке написано "выход".
rxu писал(а):Как вы собираетесь идентифицировать пользователя, если он отключит куки в браузере?
А никак, пусть идёт мимо, так же, как и в случае с отключенным яваскриптом при антибот10500. Ради его же безопасности. :lol:
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Пчелкин »

rxu Вбил в адресную строку его сид и нажал ентер...
Я был на этом форуме под его сидом...но только до первого движения...до первого малейшего мыхой...и все...опять стал я...
:lol: :lol: :lol:
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 16313
Стаж: 17 лет 10 месяцев
Откуда: Красноярск
Благодарил (а): 533 раза
Поблагодарили: 2119 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение rxu »

Sheer писал(а):Попробуй авторизоваться.
Не получится, ибо секурные проверки не выключены.
Пчелкин писал(а):Я был на этом форуме под его сидом
Что такое под сидом? Не под его аккаунтом, это точно. А сам сид в адресе ни о чем не говорит.
Изображение
Аватара пользователя
Sheer
Former team member
Сообщения: 12113
Стаж: 17 лет 1 месяц
Откуда: Калининград не Кенигсберг
Благодарил (а): 54 раза
Поблагодарили: 2752 раза
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Sheer »

rxu писал(а):Не получится
И я от том же
sid.jpg
Dbonz писал(а):А никак, пусть идёт мимо
Мил друг, тогда никто не сможет авторизоваться, никто, понимаешь?
Изображение
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Пчелкин »

rxu писал(а):А сам сид в адресе ни о чем не говорит.
Так и я о том-же...что с того сида...
Щас под Шеровским был...толку...Шером то я не стал...
Во - Шеровский...стою...не шевелюсь...
snap799.jpg
Первое же движение и сида нет...
snap800.jpg
И чего товарисч такую возню поднял...Заняться нечем? Сходи на улицу, по фотай воробушков...Интереснейшее занятие... :lol:
Аватара пользователя
Dbonz
phpBB 2.0.0
Сообщения: 231
Стаж: 11 лет 8 месяцев
Благодарил (а): 25 раз
Поблагодарили: 25 раз

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Dbonz »

Sheer писал(а):Мил друг, тогда никто не сможет авторизоваться, никто, понимаешь?
Ну так пусть с проверкой. Идёт запись куки? – заходи. Не идёт? – ну и сам иди мимо. А это и без кук можно авторизироваться и ходить по сайту, сколько там sidов тогда должно будет вылезти и в каких местах?
Пчелкин писал(а):Первое же движение и сида нет..
->
Sheer писал(а):Здесь другая ситуация. Jomla + мост jfusion
С вытекающими последствиями.
А на чистом? ;)
Аватара пользователя
Пчелкин
phpBB 3.3.0
Сообщения: 11234
Стаж: 14 лет 2 месяца
Откуда: fotovideoforum.ru
Благодарил (а): 1782 раза
Поблагодарили: 1340 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Пчелкин »

Так же до первого движения...Я это еще года полтора назад пробовал...
Все переживал что в загранпоездках в хотелевских компах что-то остается, что позволит после меня быть кому-то там, где не надо...Фигня....не пролезет ни у кого...
Аватара пользователя
Dbonz
phpBB 2.0.0
Сообщения: 231
Стаж: 11 лет 8 месяцев
Благодарил (а): 25 раз
Поблагодарили: 25 раз

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение Dbonz »

Пчелкин писал(а):Так же до первого движения...Я это еще года полтора назад пробовал...
Опять же, смотря какие настройки. Я ж писал пример, что после первого перехода из админки на главную страницу, на чистом форуме, брал sida и вставлял его в луковицу – и сразу с двух браузеров на форуме под одним логином. И через луковицу нажимал ссылку в амдмин. панель – тут же в неё спокойно попадал и бродил без проблем.
Аватара пользователя
rxu
phpBB Guru
phpBB Guru
Сообщения: 16313
Стаж: 17 лет 10 месяцев
Откуда: Красноярск
Благодарил (а): 533 раза
Поблагодарили: 2119 раз
Контактная информация:

Re: Идентификация на Форуме/доступ в Панель Администрировани

Сообщение rxu »

Dbonz писал(а):Опять же, смотря какие настройки.
Происходит только при отключении проверок по браузеру и адресу сессии. Кстати, зачем это надо отключать?
Изображение
Закрыто

Вернуться в «Поддержка phpBB 3.0.х»