Владельцам 3.8.6: не поставили патч - потеряли форум!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
Arnowt
Продвинутый
Default Персональный пароль на раздел 0

Ребята есть иди как реализовать данную фишку?
Нужна она для того чтобы пароли не выкладывались в паблик, а если и выложат то безтолку.

Ну например пароль к разделу генриться так
$pass=md5($vbulletin->userinfo['username'].$salt) - он и отдается юзеру.

Как потом запросить для сравнения у пользователя пасс при попытке входа в раздел?
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
GoDaddy
Человек и пароход
vBSponsor
 
GoDaddy's Avatar
Default 0

а смысл, если он генерироваться у всех будет?
отследить, кто заходил? тогда ищи в "для всех" что-то про контроль Ip (StenLi публиковал). Может подойдет.
 
Old  
Arnowt
Продвинутый
Default 0

Нет, у модератора будет "секретная" страничка которая гинерит пароль.
Он(пароль) отдается юзеру.
А дальше движка должна запросить и отличить правильный пароль ввел юзер при доступе или нет.
Собственно "отличить" не сложно как запросить?

Hren добавил 28.11.2010 в 19:35
Собственно я готов заменить стандартную функцию проверки пароля на раздел.
Но вот где она сидит?

Last edited by Arnowt : 11-28-2010 at 08:35 PM. Reason: Добавлено сообщение
 
Old  
kerk
k0t
 
kerk's Avatar
Default 0

вобла хранит пароли для разделов в таблице forum в БД
сколько форумов, столько может быть и паролей, на каждый свой или один на категорию, который действует и на подразделы
если пасс установлен и туда заходит узер, движок проверяет права узера (админа пускает без пароля) + проверяет куки узера (вводился ли пароль раньше)
потом сравнивает пасс раздела с куками узера, который ломится в этот раздел (а вдруг пасс поменяли) если условие выполняется (куки == пасс), доступ разрешен, в противном случае, форма ввода пароля
теперь представим такую ситуацию:
разделов на форуме не одна сотня, узеров, в сотни раз больше (десятки тысяч)
нужно нагенерить паролей по кол-ву узеров умноженное на кол-во разделов (это утрировано)
стандартными средствами этого не сделать однозначно, значит хак: это отдельная таблица в БД куда вбивается ID раздела и ID's + пароли узеров
при попытке доступа в раздел, скрипт отправляет запрос в эту таблицу и смотрит, есть ли пароль у этого раздела, если есть, то сканит поля узеров на наличие пароля и ищет куки у юзера, если куки есть, сравнивает с паролем раздела
и так для каждого раздела и для каждого узера
==
спрашивается, а накуя весь этот огород?
 
Old  
Arnowt
Продвинутый
Default 0

нет не так, все намного проще.

если у раздела есть пароль, то запрашиваем пароль у юзера, и бла-бла все как и раньше.
Но...!
доступ даем не тогда когда введеный пароль и пароль из базы совпадают, а когда введеный пароль и рассчитанный совпадают.

Ps:
я вообще не понимаю накуя нужен общий пароль на раздел, где знают двое там знают все.
Персональный пароль позволит дать доступ "избранным" без участия администратора с расширением прав групп.
И всякими там детскими вступлениями в группы и прочее.
Есть взрослый форум людям не хочется игр, им либо прописать права, либо дать пароль, мне проще второе тк это можно на модеров повесить, тем более что именно они заинтересованны в защите раздела.

Hren добавил 28.11.2010 в 20:28
то есть я так понимаю что нужно сделать замены там где движка обращается к БД forum.password
Судя по тому что вы описали замену нужно сделать в 1-2х местах

Last edited by Arnowt : 11-28-2010 at 09:28 PM. Reason: Добавлено сообщение
 
Old  
g0rn
Гуру
Default 0

Проверка пароля из cookie производится в includes/functions.php, функция verify_forum_password(), установка этой cookie производится в forumdisplay.php, поиск по doenterpwd.
Добавления в куку $vbulletin->userinfo['salt'] и изменения логики проверки введённого пароля должно хватить (ну ещё надо страничку, где модератор может сгенерировать пароль для нужного раздела и пользователя)
 
Old  
Arnowt
Продвинутый
Default 0

verify_forum_password - вот тут ковырять нужно

Hren добавил 28.11.2010 в 20:41
g0rn, спасибо! частично уже сам нашел

Last edited by Arnowt : 11-29-2010 at 06:07 AM. Reason: Добавлено сообщение
 
Old  
kerk
k0t
 
kerk's Avatar
Default 0

Quote:
Originally Posted by Hren View Post
доступ даем не тогда когда введеный пароль и пароль из базы совпадают, а когда введеный пароль и рассчитанный совпадают.
ну и где хранить "расчитанный" пароль?
что бы потом было с чем сравнить?
Quote:
Originally Posted by Hren View Post
не понимаю накуя нужен общий пароль на раздел, где знают двое там знают все.
вот и вычисляй крысу
спроси этих двоих, у кого язык длинный
 
Old  
g0rn
Гуру
Default 0

Quote:
Originally Posted by kerk View Post
ну и где хранить "расчитанный" пароль?
что бы потом было с чем сравнить?
да банально можно же его брать как md5($foruminfo['password'] . $vbulletin->userinfo['userid'] . $vbulletin->userinfo['salt']);
$foruminfo['password'] как и раньше хранится в базе, а остальные параметры доступны во время ввода пароля конкретным пользователем, нигде ничего дополнительно хранить не надо.
 
Old  
Arnowt
Продвинутый
Default 0

g0rn, да именно, ничего хранить не нужно.

Вот только смущает это условие перед тем как прописываются куки
if ($foruminfo['password'] == $vbulletin->GPC['newforumpwd'])
Я так понимаю что его тоже нужно менять, иначе буде выдана "forumpasswordincorrect"
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 10:43 PM.


Powered by vBulletin® Version 3.6.10
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.