Если хакер украл хэш, это опасно?

[M-K]

Хакер, который получил мой хэш может зайти под моим аккаунтом? Это реально?

 

Или если пароль сложный и 18 символов, это все не страшно?

 

IPB 1.3

[FatCat]

Хакер, который получил мой хэш может зайти под моим аккаунтом? Это реально?

 

Или если пароль сложный и 18 символов, это все не страшно?

 

IPB 1.3

Через авторизацию по кукам может войти тобой в форум.

[M-K]

А можно тогда по IP защитить аккаунт? т.е. привязать его

[GiV]

А это к Сонгу уже, у него наработки по поводу account <=> IP

[M-K]

В данном случае мне достаточно всего лишь осуществлять проверку на мой IP. Вопрос только как и где. Универсальной системы мне не нужно. Хотя она, несомненно, актуальна в локалке.

[sudmed]

Через авторизацию по кукам может войти тобой в форум.

Хэш и куки - не одно и тоже.

[M-K]

Я как раз над этим думал... если разное, то в чем разница?

[FatCat]

Через авторизацию по кукам может войти тобой в форум.

Хэш и куки - не одно и тоже.

В IPB 1.3 в куках сохраняется хеш пароля. И он идентичен тому, что хранится в БД.

[Milse]

M-K - если хакер ещё не напакостил - смените свой пароль. И ищите дыру. через которую он смог украсть.

[M-K]

M-K - если хакер ещё не напакостил - смените свой пароль. И ищите дыру. через которую он смог украсть.

Мне нужно привязать один аккаунт к своему IP. Неужели это так сложно прописать где надо условия?

(только я не знаю в каких файлах нужно его прописывать для 1.3)

[xRay]

в .htaccess

<Files ~ "\admin.php$">

AuthType Basic

AuthUserFile /home/ВАШ_АККУНТ/bin/.htpasswd_users

AuthName "Admin center"

require valid-user

</Files>

 

+туеву хучу раз обсуждалось как и что

[Destruction]

Это не защитить от захода админом непосредственно на форум, что скорее всего позволит хакеру наделать ещё кучу гадостей.

 

Автору рекомендую сменить пароль и посмотреть логи, чтобы выяснить, откуда он пролез.

[M-K]

Это не защитить от захода админом непосредственно на форум, что скорее всего позволит хакеру наделать ещё кучу гадостей.

Именно.

 

Автору рекомендую сменить пароль и посмотреть логи, чтобы выяснить, откуда он пролез.

Сменил-то сменил. Пропатчился. Но вот как я посмотрю логи-то? Человек через CMD заюзал эксплоит в autologin.

 

Он еще прикольнулся зайдя через акк супермодера. Но у супермодера был простой пароль в тот раз. Отсюда вывод - он только пароль умеет юзать, хэши не может потделывать. НО это вовсе не означает, что надо на это расчитывать. Это просто мысли вслух.

[Song]

2M-K

 

А апишник у тебя всегда одинаковый?

[M-K]

Song, в локакле - да. Я же не буду его менять.

[winux]

В ИПБ стоит авторизация по сессиям. У нас были наработки по привязке по ИП. Тоесть в течение того времени пока у юзера есть и хэш и нужный ИП он сидит на форуме, но выяснилось что это неудобно для диалапщиков.

Также есть сведения что есть баг, с помощью которого можно попасть и в админку, сделав кое какие манипуляции. Пока что приват и у меня его нет. Умолкаю.

[Song]

Также есть сведения что есть баг, с помощью которого можно попасть и в админку, сделав кое какие манипуляции. Пока что приват и у меня его нет. Умолкаю.

Информация для наживы?

Этот твой баг может проявить себя если только IP админа и взломщика будет совпадать, что вообщем-то редкая ситуация.

 

 

2M-K

 

functions.php

	function create_member_session() {
global $DB, $INFO, $std, $ibforums;

	if ( $this->member['id'] )
	{

добавь

		if ( $this->member['id'] == твой_id and $ibforums->input['IP_ADDRESS'] != 'твой IP' )
	{
		$this->unload_member();

		$this->create_guest_session();

		return;
	}

[M-K]

Song, спасибо.

 

Вот так?

	function create_member_session()
{
	global $DB, $INFO, $std, $ibforums;

	if ($this->member['id'])
	{
	if ( $this->member['id'] == '1' and $ibforums->input['IP_ADDRESS'] != '192.168.мой.айпи' )
	{
		$this->unload_member();

		$this->create_guest_session();

		return;
	}

 

Кстати человек зарегился под одним IP, я зашел в его аккаунт со своего (другого IP) и все равно без проблем зашел. Значит что-то не так? Или это распространяется только на мой аккаунт?

[Song]

ну дык ты же сам написал:

$this->member['id'] == '1'

по паролю всё-равно зайти можно будет. Только по кукам нельзя.

[M-K]

Это уже большое дело. Спосибо. Хэш-то мой не расшифруют.

[FatCat]

Это уже большое дело. Спосибо. Хэш-то мой не расшифруют.

Лучше выясняй как достал хеш и латай.

А еще лучше - ищи все заплатки и латай всё что можно

[M-K]

Лучше выясняй как достал хеш и латай.

А еще лучше - ищи все заплатки и латай всё что можно

Так и сделали. За что опять спасибо Song'у. Сам у себя хэш достал, залотал - достать уже не смог Заодно все залотал.