DJ_KISSLOTNIY Опубликовано 6 Августа 2005 Жалоба Поделиться Опубликовано 6 Августа 2005 Недавно на Invizionize нашел набор багофиков админ панели форумов Invision Board версий 2.0.0-2.0.4 от некого S.D. Вот что он пишет по поводу этих фиксов и их списко собственно:Invisionboard 2.x Admin CP Security FixesFor IPB 2.x up to and including 2.0.4 by S.D. Mainly this modification tries to take away all options a Regular Admin can do to promote themselves to Root Admin. You may have noticed that Regular Admins are prevented from doing certain things to root admin accounts and the root admin group. As I investigated this, I discovered that those blocks can be bypassed in several ways. This mod corrects most if not all of them. It also fixes a bug where preset groups can be deleted. Most of these security problems have existed since the first version of IPB. I do not plan on making a similar modification for previous versions! This one took a long time to make Changes:1.0.2 - fixed second to last edit1.0.1 - Secondary Group fix(redo the last change in the instructions if you installed 1.0.0) Complete list of fixes ad_group.php prevents:- Regular admin edit root admin group- Any admin DELETE a preset group(guests/admins/validating/members)- Regular admin move members into the root admin group by deleting a group- Auto-Promotion of any group to root admin- Auto-Demotion of root admin ad_member.php prevents:- Regular admin change a root admin's name- Regular admin edit a root admin's email address- Regular admin change a root admin's password- Regular admin move members into the root admin group by editing a member- Regular admin add a new member to the root admin group(Add New Member)Files affected:sources/admin/ad_groups.phpsources/admin/ad_member.php Файл с инструкциями по исправлению можна найти по этой ссылке: http://mods.invisionize.com/db/index.php/a/download/f/4916 Но главное зачем я создаю эту тему. Хотелось бы узнать у знатоков их мнение по поводу этих фиксов и что за баги там вообще устраняются, потому что я не совсем все понял. Есть ли там какие-то важные исправления? Или есть ли там вообще какие-то исправления, может нет смысла на самом деле? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
SphinX Опубликовано 6 Августа 2005 Жалоба Поделиться Опубликовано 6 Августа 2005 Предлагаемые фиксы, как указывает автор, защищают пользователей группы корневых администраторов от редактирования, удаления, перемещения в другие группы обычными админами. Кроме того, предохраняет группу рутовых админов от посягательств извне, например, обычный админ не сможет средствами АЦ добавить нового пользователя в группу корневых администраторов.Плюс фиксы не позволяют удалять основные группы пользователей (guests/admins/validating/members) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Еve Опубликовано 8 Августа 2005 Жалоба Поделиться Опубликовано 8 Августа 2005 SphinX, вопрос в том, действительно ли есть эти дырки и действительно ли этот фикс помогает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vic'er Опубликовано 8 Августа 2005 Жалоба Поделиться Опубликовано 8 Августа 2005 SphinX, вопрос в том, действительно ли есть эти дырки и действительно ли этот фикс помогает. <{POST_SNAPBACK}> Я бы не сказал, что это дырки, скорее всего так и задумывалось, а этот патч меняет логику, вот и все... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
d1pro Опубликовано 10 Августа 2005 Жалоба Поделиться Опубликовано 10 Августа 2005 Я себе сделал так, чтобы внесенных в список рут-админов никто редактировать/удалять не мог. Даже другие рут-админы. Нужно обязательно редактировать файлик на сервере. Ну для кучи запрет вносить в админы тоже надо добавить... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Anna Опубликовано 11 Августа 2005 Жалоба Поделиться Опубликовано 11 Августа 2005 Тут есть модификация Protected Root Admin by Чертос-2 - это не то же самое случайно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xren Опубликовано 11 Августа 2005 Жалоба Поделиться Опубликовано 11 Августа 2005 Вроде бы нет, кажеться это дополнительный пароль на админку. НО могу ошибаться. Кстати мод дополнительного пароля совершенно не нужен если есть возможность юзать .хтааксец Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Monah Опубликовано 11 Августа 2005 Жалоба Поделиться Опубликовано 11 Августа 2005 Да, тож самое или почти тож самое. Просто в модификации от Чертоса есть доп фнункция защиты вторым паролем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.