Mamunt 0 12/04/08 11:43 (изменено) Приветствую. Такая проблема:Где-то на околохакерских форумах видел эту инфу, но сейчас нигде найти не могу, потому спрашиваю тут. Создаю рассылку форума от рут админа, с использованием прямых ссылок на темы. Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным). Доступа в админку конечно не получает, т.к. заперто .htaccess'ом, но может выдавать баны и блокировать пользователей, удалять сообщения и имеет прочие админские возможности. Как исправить эту дырку? IPB 2.3.5 Изменено 4 декабря 2008 пользователем Mamunt Поделиться сообщением Ссылка на сообщение
Fisana 700 12/04/08 12:15 Я делаю иногда рассылку, там бывают ссылки на архив и на темы.До сих пор не знала, что с них под рутом кто-то ходит :) На самом деле ИМХО немного не так.Если у Вас установлен счетчик liveinternet, попробуйте проделать следующее:В детальной статистике (что с IP) попробуйте заходить по ссылкам посетителей к себе на форум.Если посетитель – гость, то и получится, что Вы зашли под гостем. Но стоит обновить страницу, опять оказываетесь залогиненным под своим ником.Ни на какие чужие ники такие ссылки не выводят. Только гостевые права получите или свои. А в рассылке рассылаются обычные ссылки вроде http://ipbskins.ru/forum/topic3201.html Поделиться сообщением Ссылка на сообщение
Mamunt 0 12/04/08 12:52 (изменено) В том то и дело примерно 4 пользователя сообщили о такой ситуации. Один из них даже послал мне ЛС от меня родимого, чтобы я поверил.. =) И ктому дже ссылки у меня на форуме вот такого видаhttp://domen.ru/forum/index.php?showtopic=130&st=0&gopid=3486entry3486 Изменено 4 декабря 2008 пользователем Mamunt Поделиться сообщением Ссылка на сообщение
Fisana 700 12/04/08 13:01 Такая ссылка не должна заводить под рутом.В Вашей ссылке, хотя она и без ЧПУ, ничего опознавательного рут-админского нету. Теоретически могу представить, что ссылки отсылаются с номерами сессий.И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию... Хотя не знаю, как быть с куками и прочими опознавательными штучками.Точнее ответят наши программисты. Поделиться сообщением Ссылка на сообщение
Mamunt 0 12/04/08 13:28 И если сессии живут долго (так настроено), то кто-то может попасть в ту же сессию... Хотя не знаю, как быть с куками и прочими опознавательными штучками.Точнее ответят нашм программисты.Да сессии длинные стоят, может покороче поставить... Поделиться сообщением Ссылка на сообщение
Fisana 700 12/04/08 13:39 Да сессии длинные стоят, может покороче поставить...Конечно поставьте.Нагрузка на сервер будет меньше.Ботов, которые посещаемость имитируют, тоже.+ Безопасность... И обрезайте куски с сессиями у url, которые отправляете в рассылках. Поделиться сообщением Ссылка на сообщение
Ph-A 395 12/04/08 16:13 Любой пользователь получая письмо и переходя на форум по ссылке из письма попадает на форум под моим рутадминским ником и паролем(авторизованным).В ссылке этого нечего нет. Не ника не пароля. IPB 2.3.5Бесплатный? Поделиться сообщением Ссылка на сообщение
Sannis 2 12/06/08 11:15 В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно. Поделиться сообщением Ссылка на сообщение
Mamunt 0 12/10/08 14:29 (изменено) Бесплатный?ну да, нуллед =) В настройках безопасности поставьте проверку x-forwarded-for и спите спокойно.Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить? P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =(( Изменено 10 декабря 2008 пользователем Mamunt Поделиться сообщением Ссылка на сообщение
Sannis 2 12/10/08 16:47 ну да, нуллед =) Сделал спасибо. Но так и не понял что это за функция. Не могли бы пояснить? P.S. Может с этим и связана другая проблема, форум при закрытии окна теряет сессию. И при следующем заходе на него надо опять вводить логин и пароль =((Куки правильно настроены в админке? Поделиться сообщением Ссылка на сообщение
OnArs 0 12/11/08 15:01 Куки правильно настроены в админке?А как их правильно настроить?Извените, что включаюсь в тему, но мне тоже интересно и Я тоже хочу правильно настроить :) Поделиться сообщением Ссылка на сообщение
Sannis 2 12/11/08 21:44 http://www.ibresource.ru/forums/index.php?...topic=6589& Поделиться сообщением Ссылка на сообщение
Mamunt 0 12/13/08 03:47 (изменено) Все правильно настроено, у меня два форума на одном домене, у форумов разные адреса и префиксы куки. Перечитал всю тему на которую вы дали ссылку, единственный выход который приходит на ум - это добиться у хостера стоит ли кэширование на каталог форума... Кстати и дырка в безопасности, о которой я писал, видимо тоже корнями туда уходит. Цитата из той темы:Вроде не первый день на форуме, а не знаете, что на хостинге от Агавы IPB никогда не заработает. Проблема у вас не с куками, а с кэшированием на стороне сервера. В целях экономии трафика они сохраняют страницы и подсовывают их всем пользователям без разбору, вот и заходят испокон веков простые пользователи под никами администраторов...Решение: менять хост.У меня правда не Агава, а Инфобокс, но проблемы схожие =)) Изменено 13 декабря 2008 пользователем Mamunt Поделиться сообщением Ссылка на сообщение
Ph-A 395 12/13/08 09:06 У меня правда не Агава, а Инфобокс, но проблемы схожие =))Раньше в Инфобоксе не было таким проблем. У них технический директор, очень грамотный специалист. Поделиться сообщением Ссылка на сообщение
