Уважаемые пользователи!
В версии phpBB 3.3.13 обнаружены ошибки при использовании функции поиска по конференции.
Обсуждение проблемы и ее решения здесь Re: Вышел phpBB 3.3.13 [обсуждаем].
В связи с этим, не рекомендуется установка и обновление до phpBB 3.3.13.
Ошибка будет устранена разработчиками в версии phpBB 3.3.14.
Скачать предыдущую версию - phpBB 3.3.12 - можно здесь.
В версии phpBB 3.3.13 обнаружены ошибки при использовании функции поиска по конференции.
Обсуждение проблемы и ее решения здесь Re: Вышел phpBB 3.3.13 [обсуждаем].
В связи с этим, не рекомендуется установка и обновление до phpBB 3.3.13.
Ошибка будет устранена разработчиками в версии phpBB 3.3.14.
Скачать предыдущую версию - phpBB 3.3.12 - можно здесь.
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Железная защита форума при помощи .htaccess & .htpasswd
-
- phpBB 1.4.4
- Сообщения: 183
- Стаж: 17 лет 9 месяцев
-
- phpBB 2.0.1
- Сообщения: 255
- Стаж: 18 лет
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 17 лет 9 месяцев
Здравствуйте.
Вопрос мой, вероятно, глуп, но все же задам его.
Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ. А для этого (опять же, если я все верно поняла) мне нужно знать эти самые пароли.
Вопрос: откуда их, собственно, брать? Где лежат пароли в базе данных, я знаю, но там они в зашифрованном виде - годится ли взять их в таком виде и потом зашифровать еще раз?..
Или спрашивать с каждого пароль? %)
Спасибо.
Версия phpBB: 2.0.22
Используемые шаблоны: Appalachia, SubSilver
Используемые моды: Admin Userlist 2.0.2, Detector Bots 2.0.6, Stop Advertisement bots
Версия PHP: 4.3.10
Используемая СУБД и её версия: MySQL 4.0.27-max-log
Есть ли у вас тестовый аккаунт: нет
Использовался ли поиск для решения проблемы: поиск нет, несколько раз читала этот топик.
Вопрос мой, вероятно, глуп, но все же задам его.
Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ. А для этого (опять же, если я все верно поняла) мне нужно знать эти самые пароли.
Вопрос: откуда их, собственно, брать? Где лежат пароли в базе данных, я знаю, но там они в зашифрованном виде - годится ли взять их в таком виде и потом зашифровать еще раз?..
Или спрашивать с каждого пароль? %)
Спасибо.
Версия phpBB: 2.0.22
Используемые шаблоны: Appalachia, SubSilver
Используемые моды: Admin Userlist 2.0.2, Detector Bots 2.0.6, Stop Advertisement bots
Версия PHP: 4.3.10
Используемая СУБД и её версия: MySQL 4.0.27-max-log
Есть ли у вас тестовый аккаунт: нет
Использовался ли поиск для решения проблемы: поиск нет, несколько раз читала этот топик.
-
- phpBB 1.2.0
- Сообщения: 10
- Стаж: 17 лет 9 месяцев
- Откуда: Россия, МО, г. Пушкино
Нет. Этот пароль можно дать один на всех.Red Lynx писал(а):Допустим, у меня на форуме два админа и энное количество модераторов.
Если я верно все поняла, то для реализации идеи в .htpasswd мне нужно зашифровать пароли всех админов и всех модераторов, которые есть у меня на форуме, дабы они получили нужный доступ.
Добавлено спустя 2 минуты 15 секунд:
Сделать одну пару логин-пароль и сообщить её всем своим админам и модерам.
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 17 лет 9 месяцев
-
- phpBB 1.2.0
- Сообщения: 10
- Стаж: 17 лет 9 месяцев
- Откуда: Россия, МО, г. Пушкино
-
- phpBB 1.2.0
- Сообщения: 12
- Стаж: 17 лет 9 месяцев
-
- phpBB 2.0.11
- Сообщения: 810
- Стаж: 18 лет 9 месяцев
- Откуда: Ставрополь
- Забанен: Бессрочно
люди, а вот взгляните содержимое данного файла. Моим непонимающим в этом взглядом, видно что что-то лишнее... Пожалуйста расскажите что с содержимым? или все в порядке?
Код: Выделить всё
DirectoryIndex portal.php
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)union(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)UNION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)alert\(document(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)SQL_INJECTION(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent pre php 4.3.10 bug
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
AddDefaultCharset windows-1251
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 16 лет 10 месяцев
- Откуда: Питер
Люди, в итоге, кто-нибудь разобрался как это реализовать, чтобы все это работало?WingLion писал(а): Файл posting.php содержит средства, пользуясь которыми, неленивый взломщик может удалять чужие мессаги по
одной..........
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.
-
- Поддержка
- Сообщения: 5341
- Стаж: 19 лет 9 месяцев
- Откуда: Питер
- Благодарил (а): 191 раз
- Поблагодарили: 821 раз
PhoeNiXX
изменить posting на что угодно во всех файлах форума, где он упоминается. Что тут сложного?
изменить posting на что угодно во всех файлах форума, где он упоминается. Что тут сложного?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 16 лет 10 месяцев
- Откуда: Питер
Тогда в чем будет смысл переименовывания файла posting.php? Смысл же был такой - все пользуются измененным файлом posting.phpSiava писал(а):изменить posting на что угодно во всех файлах форума, где он упоминается
А чтобыWingLion писал(а):Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
Так вот, допустим, мы изменили posting.php, как описывалось выше, а оригинальный posting.php (который дает возможность модеру=админу удалять чужие сообщения) - назвали blah-blah.php - так вот как с помощью этого blah-blah.php удалить чужой пост При нажатии на иконку удалить пост - вызывается файл posting.php, в котором запрещена функция удаления чужих постов - и выдается сообщение об отсутсвии прав удаления если после этого в строке браузера подменить слово posting.php на blah-blah.php - то выходит окно подтверждения - типа "точно удалить сообщение ДА и НЕТ" - жмешь ДА и и выдается сообщение об отсутсвии прав удаления. Вот в чем загвоздка-тоWingLion писал(а):...админы могли сами модерить, нужно записать исходную версию файла под другим именем.
-
- Поддержка
- Сообщения: 5341
- Стаж: 19 лет 9 месяцев
- Откуда: Питер
- Благодарил (а): 191 раз
- Поблагодарили: 821 раз
PhoeNiXX
Начнём с того, каким образом с помощью posting.php можно удалять чужие сообщения?
Начнём с того, каким образом с помощью posting.php можно удалять чужие сообщения?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- Former team member
- Сообщения: 6517
- Стаж: 20 лет 3 месяца
- Откуда: Бердск
PhoeNiXX
меняете имя файла в адресной строке.
меняете имя файла в адресной строке.
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
-
- Поддержка
- Сообщения: 5341
- Стаж: 19 лет 9 месяцев
- Откуда: Питер
- Благодарил (а): 191 раз
- Поблагодарили: 821 раз
P.S.
куда пропала кнопка редактирования сообщений?
куда пропала кнопка редактирования сообщений?
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
-
- phpBB 1.4.0
- Сообщения: 31
- Стаж: 16 лет 10 месяцев
- Откуда: Питер
Если кулхацкер получит доступ к аккаунту админа или модератора (даже если доступ к админке и модер-панели защищены .htaccess) - он сможет удалять сообщения по-одному. См первый пост здесь: http://www.phpbbguru.net/community/view ... c&start=60Siava писал(а):каким образом с помощью posting.php можно удалять чужие сообщения?
не получается, см. мой пост выше. т.к. выдается окно подтверждения удаления - нажатие кнопки ОК ведет к старому posting.php и удаления не происходит.crash писал(а):меняете имя файла в адресной строке.