Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Идентификация на Форуме/доступ в Панель Администрирования.
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать моды
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ-3 (phpbb3) | Как задавать вопросы | Как устанавливать моды
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
Идентификация на Форуме/доступ в Панель Администрирования.
Скачал последний РЦ7, поставил его, все замечательно.
Первый запуск, нажимаю "Вход", ввожу пароль, Мне высвечивается сообщение, что тут нужна регистрация (как буд-то я и не входил).
Захожу снова, Ввожу пароль, ставлю Галочку о том, чтобы меня пускало Автоматом - форум меня начинает узнавать.
Пытаюсь перейти в раздел Администрирования... Меня каждый раз по новой и по новой спрашивают пароль, но в раздел Администрирования не пускают. Пароль проходит проверку, говорится что сейчас будет Редирект.. если ткнуть на Ссылку для перехода - эффект один - Поле с запросом пароля.
Помогите пожалуйста разобраться.
Ставил форум у Хостера и на Домашнем дистрибутиве Денвера.. Эффект один и тот же.
При установке форума единственный параметр, который рекомендуют переключить - Регистрация Глобальных переменных.
Ответ: в первую очередь необходимо убедиться в правильности настроек куки (cookies) на форуме, в администраторском разделе. В phpBB2 и phpBB3 правила настройки куки идентичны, читаем этот пост.
Первый запуск, нажимаю "Вход", ввожу пароль, Мне высвечивается сообщение, что тут нужна регистрация (как буд-то я и не входил).
Захожу снова, Ввожу пароль, ставлю Галочку о том, чтобы меня пускало Автоматом - форум меня начинает узнавать.
Пытаюсь перейти в раздел Администрирования... Меня каждый раз по новой и по новой спрашивают пароль, но в раздел Администрирования не пускают. Пароль проходит проверку, говорится что сейчас будет Редирект.. если ткнуть на Ссылку для перехода - эффект один - Поле с запросом пароля.
Помогите пожалуйста разобраться.
Ставил форум у Хостера и на Домашнем дистрибутиве Денвера.. Эффект один и тот же.
При установке форума единственный параметр, который рекомендуют переключить - Регистрация Глобальных переменных.
Ответ: в первую очередь необходимо убедиться в правильности настроек куки (cookies) на форуме, в администраторском разделе. В phpBB2 и phpBB3 правила настройки куки идентичны, читаем этот пост.
- rxu
- phpBB Guru
- Сообщения: 16313
- Стаж: 17 лет 10 месяцев
- Откуда: Красноярск
- Благодарил (а): 533 раза
- Поблагодарили: 2119 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
forfreedom
Эта "бяка" в вашем случае совершенно не причем.
В phpBB нет такой дыры в безопасности.
Эта "бяка" в вашем случае совершенно не причем.
Я не знаю, как вы проверяли. Если бы дело обстояло так, все форумы на phpBB были бы давно взломаны. Если вам кажется, что вы первым в мире додумались подменять sid - не льстите себеDbonz писал(а):Уже проверил на практике через луковицу – выходит, что можно!
В phpBB нет такой дыры в безопасности.
- Dbonz
- phpBB 2.0.0
- Сообщения: 231
- Стаж: 11 лет 8 месяцев
- Благодарил (а): 25 раз
- Поблагодарили: 25 раз
Re: Идентификация на Форуме/доступ в Панель Администрировани
Это шутка? Если Вам кажется, что Вы сумели проследить ход мысли оппонента – не льстите себе, делая скоропалительные выводы.rxu писал(а):Я не знаю, как вы проверяли. Если бы дело обстояло так, все форумы на phpBB были бы давно взломаны. Если вам кажется, что вы первым в мире додумались подменять sid - не льстите себе
В phpBB нет такой дыры в безопасности.
Зачем подменять, когда можно нечаянно подарить имеющийся ID сессии из-за того, что он так открыто маячит в адресной строке. На 2-ух пальцах объяснил, как, что и за чем делал и какие настройки выключил. И Вы сами подтвердили, что так можно. Конечно, сессия имеет свой срок жизни и она ясное дело просто так не заканчивается при закрытии браузера, тут либо при выходе с конференции, либо через установленное время. И ссылкой с ID исходя из этого, может воспользоваться любой желающий, если выключены эти настройки:
Проверка IP-адреса сессии: Нет
Проверка браузера: Нет
Проверять рефёрер: Нет
Весь вопрос, зачем этот ID или sid, вообще нужен в адресной строке. Понимаю, если б без кук вообще нельзя бы было зайти на конференцию, а это что? В чём защита, если сама сгенерированная ссылка является ключом?
Звучит как мантра. Остаётся повторять себе это чаще и чаще…rxu писал(а):В phpBB нет такой дыры в безопасности.
- Sheer
- Former team member
- Сообщения: 12113
- Стаж: 17 лет 1 месяц
- Откуда: Калининград не Кенигсберг
- Благодарил (а): 54 раза
- Поблагодарили: 2752 раза
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Dbonz
Что ж ты хочешь, если отключил всю защиту.
Это примерно, как уйти из дома, оставить ключ под ковриком, и сообщить об этом всему свету.
Что ж ты хочешь, если отключил всю защиту.
Это примерно, как уйти из дома, оставить ключ под ковриком, и сообщить об этом всему свету.
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
- Dbonz
- phpBB 2.0.0
- Сообщения: 231
- Стаж: 11 лет 8 месяцев
- Благодарил (а): 25 раз
- Поблагодарили: 25 раз
Re: Идентификация на Форуме/доступ в Панель Администрировани
Я, к примеру, как неопытный админ могу вообще ничего не хотеть. А вот "Вася" или"Петя", вполне могут быть обеспокоены угоном их акков. В данном случае им очень бы помогли куки и чистый адрес без sidов.Sheer писал(а):Что ж ты хочешь, если отключил всю защиту.
Это примерно, как уйти из дома, оставить ключ под ковриком, и сообщить об этом всему свету.
А по поводу проверки IP-адреса, мне, полагаю, можно и не включать, т.к. сделал так:
[РЕШЕНО] IP администратора сделать 127.0.0.1
Вот и обеспокоился. Думал, что на уровне кук будет прикрыто, а тут они вообще не нужны, как выяснилось. Ну ладно, включу проверку браузера, но и здесь странно, как Пчелкин сумел вбить моего sida и авторизироваться тут Идентификация на Форуме/доступ в Панель Администрирования.
Я-то без претензий к движку, но просто от полученной информации появились некоторые сомнения...
- rxu
- phpBB Guru
- Сообщения: 16313
- Стаж: 17 лет 10 месяцев
- Откуда: Красноярск
- Благодарил (а): 533 раза
- Поблагодарили: 2119 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Где он там авторизовался под вами?Dbonz писал(а):как Пчелкин сумел вбить моего sida и авторизироваться тут
Как вы собираетесь идентифицировать пользователя, если он отключит куки в браузере?Dbonz писал(а):В данном случае им очень бы помогли куки и чистый адрес без sidов.
- Sheer
- Former team member
- Сообщения: 12113
- Стаж: 17 лет 1 месяц
- Откуда: Калининград не Кенигсберг
- Благодарил (а): 54 раза
- Поблагодарили: 2752 раза
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Dbonz
Дарю свой
Попробуй авторизоваться.
Дарю свой
Код: Выделить всё
http://www.phpbbguru.net/community/?sid=ac122a95193e99fd70d34fed12c579a4
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
- Dbonz
- phpBB 2.0.0
- Сообщения: 231
- Стаж: 11 лет 8 месяцев
- Благодарил (а): 25 раз
- Поблагодарили: 25 раз
Re: Идентификация на Форуме/доступ в Панель Администрировани
Но допустим не подо мной. но по sidu явно авторизировался, судя по тому что в шапке написано "выход".rxu писал(а):Где он там авторизовался под вами?
А никак, пусть идёт мимо, так же, как и в случае с отключенным яваскриптом при антибот10500. Ради его же безопасности.rxu писал(а):Как вы собираетесь идентифицировать пользователя, если он отключит куки в браузере?
- Пчелкин
- phpBB 3.3.0
- Сообщения: 11234
- Стаж: 14 лет 2 месяца
- Откуда: fotovideoforum.ru
- Благодарил (а): 1782 раза
- Поблагодарили: 1340 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
rxu Вбил в адресную строку его сид и нажал ентер...
Я был на этом форуме под его сидом...но только до первого движения...до первого малейшего мыхой...и все...опять стал я...
Я был на этом форуме под его сидом...но только до первого движения...до первого малейшего мыхой...и все...опять стал я...
NIKON-D90, AF-S 18-105, AF-S 14-24, AF-S 24-70
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
- rxu
- phpBB Guru
- Сообщения: 16313
- Стаж: 17 лет 10 месяцев
- Откуда: Красноярск
- Благодарил (а): 533 раза
- Поблагодарили: 2119 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Не получится, ибо секурные проверки не выключены.Sheer писал(а):Попробуй авторизоваться.
Что такое под сидом? Не под его аккаунтом, это точно. А сам сид в адресе ни о чем не говорит.Пчелкин писал(а):Я был на этом форуме под его сидом
- Sheer
- Former team member
- Сообщения: 12113
- Стаж: 17 лет 1 месяц
- Откуда: Калининград не Кенигсберг
- Благодарил (а): 54 раза
- Поблагодарили: 2752 раза
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
И я от том жеrxu писал(а):Не получится
Мил друг, тогда никто не сможет авторизоваться, никто, понимаешь?Dbonz писал(а):А никак, пусть идёт мимо
Общие ошибки новичков (07.11.2005) & Как задавать вопросы
Мини FAQ
Если ничто другое не помогает, прочтите, наконец, инструкцию!
"Никакая инструкция не может перечислить всех обязанностей должностного лица, предусмотреть все отдельные случаи и дать вперёд соответствующие указания, а поэтому господа инженеры должны проявить инициативу и, руководствуясь знаниями своей специальности и пользой дела, принять все усилия для оправдания своего назначения".
Циркуляр Морского технического комитета №15 от 29.11.1910 г.
- Пчелкин
- phpBB 3.3.0
- Сообщения: 11234
- Стаж: 14 лет 2 месяца
- Откуда: fotovideoforum.ru
- Благодарил (а): 1782 раза
- Поблагодарили: 1340 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Так и я о том-же...что с того сида...rxu писал(а):А сам сид в адресе ни о чем не говорит.
Щас под Шеровским был...толку...Шером то я не стал...
Во - Шеровский...стою...не шевелюсь... Первое же движение и сида нет... И чего товарисч такую возню поднял...Заняться нечем? Сходи на улицу, по фотай воробушков...Интереснейшее занятие...
NIKON-D90, AF-S 18-105, AF-S 14-24, AF-S 24-70
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
- Dbonz
- phpBB 2.0.0
- Сообщения: 231
- Стаж: 11 лет 8 месяцев
- Благодарил (а): 25 раз
- Поблагодарили: 25 раз
Re: Идентификация на Форуме/доступ в Панель Администрировани
Ну так пусть с проверкой. Идёт запись куки? – заходи. Не идёт? – ну и сам иди мимо. А это и без кук можно авторизироваться и ходить по сайту, сколько там sidов тогда должно будет вылезти и в каких местах?Sheer писал(а):Мил друг, тогда никто не сможет авторизоваться, никто, понимаешь?
->Пчелкин писал(а):Первое же движение и сида нет..
А на чистом?Sheer писал(а):Здесь другая ситуация. Jomla + мост jfusion
С вытекающими последствиями.
- Пчелкин
- phpBB 3.3.0
- Сообщения: 11234
- Стаж: 14 лет 2 месяца
- Откуда: fotovideoforum.ru
- Благодарил (а): 1782 раза
- Поблагодарили: 1340 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Так же до первого движения...Я это еще года полтора назад пробовал...
Все переживал что в загранпоездках в хотелевских компах что-то остается, что позволит после меня быть кому-то там, где не надо...Фигня....не пролезет ни у кого...
Все переживал что в загранпоездках в хотелевских компах что-то остается, что позволит после меня быть кому-то там, где не надо...Фигня....не пролезет ни у кого...
NIKON-D90, AF-S 18-105, AF-S 14-24, AF-S 24-70
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
- Dbonz
- phpBB 2.0.0
- Сообщения: 231
- Стаж: 11 лет 8 месяцев
- Благодарил (а): 25 раз
- Поблагодарили: 25 раз
Re: Идентификация на Форуме/доступ в Панель Администрировани
Опять же, смотря какие настройки. Я ж писал пример, что после первого перехода из админки на главную страницу, на чистом форуме, брал sida и вставлял его в луковицу – и сразу с двух браузеров на форуме под одним логином. И через луковицу нажимал ссылку в амдмин. панель – тут же в неё спокойно попадал и бродил без проблем.Пчелкин писал(а):Так же до первого движения...Я это еще года полтора назад пробовал...
- rxu
- phpBB Guru
- Сообщения: 16313
- Стаж: 17 лет 10 месяцев
- Откуда: Красноярск
- Благодарил (а): 533 раза
- Поблагодарили: 2119 раз
- Контактная информация:
Re: Идентификация на Форуме/доступ в Панель Администрировани
Происходит только при отключении проверок по браузеру и адресу сессии. Кстати, зачем это надо отключать?Dbonz писал(а):Опять же, смотря какие настройки.