Как изменить авторизацию? запретить авторизацию по

[Spear]

Здравствуйте,

я, блин, начал с ИПБ разбираться, исходники ковырять.

Я непонял - получается что юзер может авторизироваться даже не имея кук? А просто по сессиям?

У меня такие вопросы, буду благодарен если ответите:

 

1. Как запретить авторизацию через сессии? Меня класы инвижена просто бесят мягко говоря. Там е ясно ничего, уже часа 3 точно ммучаюсь

Скажите пожалуйста хотя бы схематично. В каких файлах измениить и что убрать. Я не прошу мне давать коды просто мол в таком то фале уберать такие то запросы в бД (например.. ИПБ же юзает базу для проверки валидности сессии?), и в таких-то файлах убрать то-то-то. (приблизителньо, я там на месте уже думаю пойму)

 

2. В каких файлах кроме login.php идет проверка на валидность куки?

При постинге идет? я просто вобще логику поставки кук изменю. Защита 100%, пусть хоть у меня в подписи у всех пользователей будут снифферы античата - пароль не расшифруют никогда.

Но для удобства у меня все пишется в одну куку, которая потом ддешиифруетcя.

[arigoda]

а вы уверены, что не собираетесь изобретать велосипед? тут вроде тоже не дураки тусуются, все известные дырки перекрыты давно.

ознакомьтесь: Уязвимости форумов Invision Power Board

[Song]

Без сессий не получится.

Залогинится не сможешь.

 

Короче говоря, &s=.... должно передаться один раз, перед тем как куки сбросятся на локальный компьютер.

[Spear]

я рпосто непойму (пусть это уже небольшой оффтопик) -

если делать так что бы при авторизации сразу кука ставилась, то это уменьшает безопасность?

Если вас не затруднит - объясните пожалуйста механизм авторизации в IPB?[1129488035:1129499699]дело в том что у меня цель - соединить форум и сайт.

Движок сайта использует довольно-навороченную систему шифрования \ дешифровки кук и проверку на их валидность.

Таким образом кража кук не позволит получить пароль.

 

Но какой смысл в таких проверках, если Инвижен всеравно хранит куки по старому.

Вот у меня и вопрос (я ОЧЕНЬ прошу - помогите):

мне нужно модернизировать систему авторизации.

По возможности - убрать сессии. "Нерабоатют куки? До свидания.". Я не думаю что очень много народу пишут на форумах при выключенных куках.

 

вот вопрос, который я не могу решить (точнее немогу разобраться с кодом инвижена. На РНР пишу около года, сделать смогу. главное понять что и где использует форум):

 

Какая схема вторизации? Можно ли перейти от момента выставления сессий к выставлению кук? то есть - проверяем валидность, и если все ок - пишем куку.

Зачем вобще в инвижене сделаны сессии? забота от юзерах с выкл. куками?

Может ли нарушиться безопасность форума, если я буду ставить куку, а потом проверять каждый раз валидность её? (в случае, если она стоит)

[1129499699:1129501114]можно даже такой (может неудобный) вариант -

можно убить авторизацию через инвижен. вобще. снести. закомментировать.

 

Дело в том что я регистрацию буду делать только через сайт, и авторизациию (на форум) можно сделать от туда же.

Такой вопрос - нужно ли кроме нужных кук ещё чтото делать? типо инсерт в таблицу сессий.. хотя я же их вроде как снести хочу (сессии эти..)[1129501114:1129504969]продолжаю удивляться

при логине идет проверка, и если юзер выбирает "запомнить меня" (CookieDate)

то пишется кука на год. Если нет - то непойму что там дальше происхдит. пишется айди сессиии в базу? А зачем этот гемморой? очему бы не писать ту же куку только не ставить ей время - в мануале ясно написано что если при сеткуки не указать время то кука удалится после закрытия браузера.[1129504969:1129510378]сделал шифровку данных кук ямонстр

 

такой квесчн - что будет если я уберу из функции май_сеткуки выставление путей кук? это как-то на безоасность повлияет?

Мне нужно эти куки юзать на разных саб-доменах.[1129510378:1129510954]все, кажется разобрался.

Последний вопрос - в каком месте (кода) инвижен обновляет инфу о местоположении пользователя?

[Spear]

спасибо за ответы

все нашел, все сделал