У Вас не удалена папка /install/?
Хакеры идут к Вам!!!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > > > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
inxaoc
Простоузер
Default юзерам - куки, админу - http-сессию 0

Как сделать так чтобы запретить админам использовать куки, а только сессию, ну или по крайней мере где это можно настроить?
(вариант защиты от XSS - чтобы не воровали куки админов).

И еще как можно сделать такую тему с обязательной сменой пароля юзеру (как в винде) через определенное время, и чтобы если он не изменил, то не мог бы зайти на форум?
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
grand
Специалист
 
grand's Avatar
Default 0

Quote:
Originally Posted by inxaoc
И еще как можно сделать такую тему с обязательной сменой пароля юзеру (как в винде) через определенное время, и чтобы если он не изменил, то не мог бы зайти на форум?

админка - группы пользователей - Управление группами пользователей

Для каждой группы устанавливаешь Срок устаревания пароля (Если вы укажете здесь количество дней, пользователям придется менять свои пароли через Х дней)
 
Old  
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default 0

Quote:
Originally Posted by inxaoc
Как сделать так чтобы запретить админам использовать куки, а только сессию, ну или по крайней мере где это можно настроить?
(вариант защиты от XSS - чтобы не воровали куки админов).
гг.
Отключи в браузере куки. Или добавь свой форум в блек лист для создания куков. Нафига сложности то.
 
Old  
inxaoc
Простоузер
Default 0

Quote:
Quote:
Как сделать так чтобы запретить админам использовать куки, а только сессию, ну или по крайней мере где это можно настроить?
(вариант защиты от XSS - чтобы не воровали куки админов).

Нафига сложности то.
И все таки, вопрос так и повис в воздухе, как это сделать в булке и возможно ли вообще?
 
Old  
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default 0

inxaoc,
ты хоть сам соображаешь чего ты хочешь, и нах тебе это надо? Я тебе ответил. Ты - админ. Отключи у себя куки в браузере и не используй их. И потри существующий. Ты хорошо себе представляешь что такое КСС и как оно работает?

добавлено через 2 минуты
Если ты привык искать сложные пути и делать все через одно место, то можно перелопатить скрипт залогинивания и сделать так, чтобы у админов куки не создавались. Стандартными средствами - нет.

Last edited by Malcolm Reed : 11-25-2006 at 09:55 PM. Reason: Добавлено сообщение
 
Old  
netwind
Гуру
 
netwind's Avatar
Default 0

Вот кстати,у ченджлогах вбуллетиня видал, что они предложили некую мульку для предотвращения XSS включить в php5 и ее включили.
Вопрос : Чо это такое и как работает?

добавлено через 45 минут
includes/functions_login.php

if (!verify_authentication($vbulletin->GPC['vb_login_username'], $vbulletin->GPC['vb_login_password'], $vbulletin->GPC['vb_login_md5password'], $vbulletin->GPC['vb_login_md5password_utf'], $vbulletin->GPC['cookieuser'], true))

что характерно, кто-то об этом уже думал, но почему-то в коде вбита константа true ?
В общем сюда нужно вставить проверку userid и передавать последним аргументом false.
в конфиге обычно прописывают undeletable users вот их и взять.
Хука я что-то не вижу..

Last edited by netwind : 11-25-2006 at 11:12 PM. Reason: Добавлено сообщение
 
Old  
inxaoc
Простоузер
Default 0

Quote:
ты хоть сам соображаешь чего ты хочешь, и нах тебе это надо? Я тебе ответил. Ты - админ. Отключи у себя куки в браузере и не используй их. И потри существующий. Ты хорошо себе представляешь что такое КСС и как оно работает?
Извини. Поправь меня если я не прав. Есть куки, которые отсылаются клиенту, и которые можно перехватить с помощью КСС. Но сессия - это не куки, это возможность передавать от странице к странице различные данные, а не только айдишник в адресной строке (PHPID=....), которые как куки не сохраняются на компе клиента (по крайней мере для web-приложений на java). ПОэтому сессия более защищенный механизм, чем куки....

добавлено через 2 минуты
И еще. Форум же должен работать для тех, у кого куки отключены, значит на форуме предусмотрена возможность выбора, использовать куки, или сессию.

Не только я админ. Да и не могу я везде отключать куки из-за одного форума. Они мне часто нужны. Зачем же топором рубить, там где можно скальпелем

Last edited by inxaoc : 11-26-2006 at 12:01 AM. Reason: Добавлено сообщение
 
Old  
Malcolm Reed
Эксперт
 
Malcolm Reed's Avatar
Default 0

Quote:
Originally Posted by inxaoc
Извини. Поправь меня если я не прав. Есть куки, которые отсылаются клиенту, и которые можно перехватить с помощью КСС.
Перехватываются они не тогда когда отсылаются, а тогда когда ты заходишь на страницу "инфицированную" КСС. Следовательно если у тебя кук от форума вообще нету (они отключены) то и перехватить их нельзя. Нечего перехватывать просто.
Quote:
Originally Posted by inxaoc
Но сессия - это не куки, это возможность передавать от странице к странице различные данные, а не только айдишник в адресной строке (PHPID=....), которые как куки не сохраняются на компе клиента (по крайней мере для web-приложений на java). ПОэтому сессия более защищенный механизм, чем куки....
Вот именно. И если ты, как админ, отключишь в своем браузере использование кукисов (только для СВОЕГО форума) то находиться авторизованным на сайте ты будешь только с помощью сессий, и никаких куков у тебя не будет, и спереть то чего нет - нельзя. Разумеется придется при каждом визите залогиниваться на форуме (а чего ты хотел без использования куков) но любые КСС в твою сторону будут совершенно бессмысленны. Помоему это хоть и самый глупый, но в тоже время самый просто вариант защиты от КСС.

добавлено через 2 минуты
Quote:
Originally Posted by inxaoc
Не только я админ. Да и не могу я везде отключать куки из-за одного форума. Они мне часто нужны. Зачем же топором рубить, там где можно скальпелем
читай выше - если мне память не изменяет и в ИЕ и в ФФ можно запретить куки для конкретного домена - yoursite.ru
Quote:
Originally Posted by inxaoc
И еще. Форум же должен работать для тех, у кого куки отключены, значит на форуме предусмотрена возможность выбора, использовать куки, или сессию.
Кстати говоря, начерта искать сложности. Просто не ставь при залогинивание галочку рядом со словом "запомнить" - по логике, куки при этом создавать не будут - и опять же таки КСС не пройдет (не уверен только что сессионные куки при том создаваться не будут)

Last edited by Malcolm Reed : 11-26-2006 at 02:00 AM. Reason: Добавлено сообщение
 
Old  
inxaoc
Простоузер
Default 0

Quote:
Кстати говоря, начерта искать сложности. Просто не ставь при залогинивание галочку рядом со словом "запомнить" - по логике, куки при этом создавать не будут - и опять же таки КСС не пройдет (не уверен только что сессионные куки при том создаваться не будут)
Если ты не будешь ставить галочку и войдешь, а потом выйдешь, форум тебе скажет, что куки очищены, так что куки есть...
 
Old  
jedl2007
Специалист
 
jedl2007's Avatar
Default 0

Quote:
Originally Posted by inxaoc
Если ты не будешь ставить галочку и войдешь, а потом выйдешь, форум тебе скажет, что куки очищены, так что куки есть...
Мде...
Ещё один упертый баран считающий што его никто не любит и он никому не нужен...

Last edited by jedl2007 : 11-27-2006 at 03:55 PM.
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 04:28 AM.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.