Быстрый лёгкий надёжный форумный движок
Вы не вошли.
artoodetoo, В стандартном варианте соли вообще нет.
У меня соль одна для всех.
З.Ы. Куда соль-то прятать для каждого юзера!?
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Спасибо за разъяснения
Visman как сильно влияют ваши моды на скорость работы форума?
Возможно ли кешировать запросы в базе на форуме?
Редактировался Scaf (2010-11-11 16:42:57)
Offline
На скорость не должны сильно влиять, т.к. сам заинтересован, чтобы у меня на сайте форум бегал быстро.
А про кэширование ни чего не скажу, т.к. этим вопросом не интересовался.
З.Ы. На главной у меня на два запроса меньше к базе идет по отношению к стандартному форуму
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Это я вижу про запросы,
Серверное кэширование
Клиентское кэширование
SQL-кэширование
в эту сторону посмотрите насчет форума на досуге!
Редактировался Scaf (2010-11-11 16:57:05)
Offline
Offline
FluxBB v1.4
include/functions.php
function check_cookie(&$pun_user)
...
md5($cookie_seed.$pun_user['password'])
$cookie_seed это общая для всех соль
PunBB v1.3
include/functions.php
function cookie_login(&$forum_user)
...
sha1($forum_user['salt'].$forum_user['password'].forum_hash(intval($cookie['expiration_time']), $forum_user['salt']))
$forum_user['salt'] это индивидуальная для пользователя соль. хранится в users.
Индивидуальная соль не спасет если украден users. Она повышает устойчивость к брутфорс атаке, как я описал выше.
p.s. я не считаю, что надо делать в точности как в 1.3. а вот к непереносимости старых паролей при апгрейде/даунгрейде такое различие точно приводит
There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.
Offline
В принципе можно реализовать алгоритм, где будет вычисляться случайная соль при каждой новой авторизации.
There are two hard things in computer science: cache invalidation, naming things, and off-by-one errors.
Offline
artoodetoo, тут
md5($cookie_seed.$pun_user['password'])
$pun_user['password'] в стандартном случае это sha1(пароль), а в моем случае sha1(пароль.соль)
т.е. работы взломщикам больше
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Обновился до 27-й ревизии, нукатил пару модов, всё отлично.
Но хотелось бы ещё мод "Friendly URL".
Затык у меня вышел такой. В include/functions.php надо:
#
#---------[ 12. FIND ]---------------------------------------------
#
global $pun_config, $lang_common;
if (!preg_match('#^'.preg_quote(str_replace('www.', '', $pun_config['o_base_url']).'/'.$script, '#').'#i', str_replace('www.', '', (isset($_SERVER['HTTP_REFERER']) ? urldecode($_SERVER['HTTP_REFERER']) : ''))))
#
#---------[ 16. REPLACE WITH ]---------------------------------------------------
#
global $pun_config, $lang_common, $http_referer;
if (!preg_match('#^'.preg_quote(str_replace('www.', '', $pun_config['o_base_url']).'/'.$script, '#').'#i', str_replace('www.', '', urldecode($http_referer))))
Я так понимаю, в сабже код совсем иной на этот счёт ((
Кажется, о нём идёт речь:
//
// Make sure that HTTP_REFERER matches $pun_config['o_base_url']/$script
// ********* новые ф-ии проверки подлинности - Visman
function confirm_referrer($script)
{
global $pun_user, $lang_common, $pun_config;
if (isset($_POST['csrf_hash']))
$hash = $_POST['csrf_hash'];
else if (isset($_GET['csrf_hash']))
$hash = $_GET['csrf_hash'];
else
message($lang_common['Bad referrer']);
eregi('^(https?\://)(www\.)?(.*)$', $pun_config['o_base_url'], $regs);
$script = $regs[3].'/'.$script.get_remote_address();
$new_hash = pun_hash($script.$pun_user['username']);
if ($new_hash != $hash)
message($lang_common['Bad referrer']);
}
function csrf_hash()
{
global $pun_user;
eregi('^(www\.)?(.*)$', $_SERVER['HTTP_HOST'], $regs);
$script = $regs[2].$_SERVER['SCRIPT_NAME'].get_remote_address();
return pun_hash($script.$pun_user['username']);
}
// ********* новые ф-ии проверки подлинности - Visman
Правильно я понял? Есть ли возможность прикрутить этот мод к данной сборке? В целом форум очень нравится, но url.... печаль, печаль ((
Offline
vovans, думается мне, что можно тот вариант, который в сборке стоит не менять при установке этого мода, т.к. он не привязан к HTTP_REFERER. Главное чтобы из форм с проверкой не была удалена передача переменной csrf_hash (как через POST, так и через GET).
З.Ы. Если не будет работать, то просто замени ф-ию confirm_referrer() на стандартную и внеси в нее изменения мода, а csrf_hash() не удаляй.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Visman включите в сборку следующие моды от сюда http://fluxbb.org/resources/mods/
Всех включать сразу не стоит, сделать выбор администратору!
Отличный форум получиться!
Offline
Scaf, Все сразу?
Offline
Scaf, Все сразу?
Все сразу и проверить все на совместимость и работу на актуальной версии!
А там уже сам админ разберется, какой плагин ему нужен!
Offline
Scaf, мне что больше заняться не чем, как всю ту кашу, которую там народ напридумывал сливать в одну кучу?
Там есть и криво работающие моды, и моды, дублирующие уже имеющиеся в сборке, и такие моды, которые совершенно ни кому не пригодятся.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
http://fluxbb.org/resources/mods/friendly-url/
http://fluxbb.org/resources/mods/lightbox-for-fluxbb/
http://fluxbb.org/resources/mods/recaptcha/
эти модули в сборку включить можно?
Offline
http://fluxbb.org/resources/mods/lightbox-for-fluxbb/ - криво работает сам Lightbox (во всяком случае у меня картинки на тесте открываются через раз, хотя сами файлы загружаются на комп полностью). Нужен нормально работающий аналог, по возможности на jQuery (т.к. он уже используется на страницах форума).
http://fluxbb.org/resources/mods/recaptcha/ - она не нужна тут, так как защита от ботов уже стоит (рекомендуется включать ее в Админке - Security - Кодировать формы ввода register.php и login.php с помощью JavaScript).
http://fluxbb.org/resources/mods/friendly-url/ - разве его можно отключить если установил? Там изменения внесены и в файл .htaccess, который через админку форума не изменишь.
И как на данный момент у хостеров обстоят дела с mod_rewrite на тарифах?
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Scaf, вот по капче пример отлова ботов на моем форуме.
Редактировался Visman (2014-10-04 05:40:54)
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
vovans, думается мне, что можно тот вариант, который в сборке стоит не менять при установке этого мода, т.к. он не привязан к HTTP_REFERER. Главное чтобы из форм с проверкой не была удалена передача переменной csrf_hash (как через POST, так и через GET).
З.Ы. Если не будет работать, то просто замени ф-ию confirm_referrer() на стандартную и внеси в нее изменения мода, а csrf_hash() не удаляй.
Оно почти заработало. Ссылки стали человеческими. По ним я переходил до определённого предела.Вот сейчас не вспомню. Кажется, когда уже саму ветвь дискуссии пытаешься открыть, то есть последний, самый глубокий уровень вложенности, тогда только выдаёт какую-то фигню вместо сообщений. Чистый лист и пара слов (((
Сам мод очень интересный и ссылки выглядят покрасивее.... но так, чтобы втыкнуть и сразу заработало ... ((( так не получилось (( Думаю, там совсем по-мелочи надо подправить, но я не знаю толком ни пыха, ни самого внутреннего устройства форума ((
Offline
И как на данный момент у хостеров обстоят дела с mod_rewrite на тарифах?
на каких тарифах? )) от полторы штуки до 2.5 штук в год мод реврайт точно включён и работает как надо )) не представляю себе нормального хостера без него.
Все сразу и проверить все на совместимость и работу на актуальной версии!
Вы с ума сошли, мягко говоря. А точнее, просто не понимаете, о чём пишете.
А там уже сам админ разберется, какой плагин ему нужен!
мод меняет некоторые вещи в самом ядре форума. А нередко даже вносит изменения в структуру БД. То есть, это глупо, то, о чём вы пишите.
Потом по конкретным модам. На, с мод_реврайтом хорошо бы разобраться, но рекаптча определённо не нужна! Это самое неудобное, что можно придумать. Лучше гостям вообще запретить писать, чем так издеваться над пользователями (гостями)! Вы сами попробуйте её пару раз набрать, а потом подумайте, захочет ли кто-то на вашем форуме что-то писать. И дойдёт ли дело до второго сообщения... Все сейчас стремятся к самым простым способам ухода от спама, а мы сейчас поставим комбайн начала 2000х годов...
Лайбокс... А он отключаем полностью? Или его жабаскрипты так и будут весеть в хидере? Не самый лучшый мод. Кому надо, тот сам прикрутит.
Я вон без проблем вкрутил моды - определение ОС и юзерагента плюс быстрое (на аякс) редактирование сообщений. И не только прицепил их, а уже обновлял ревизию до текущей. Такие мелочи можно и самому сделать.
Offline
Offline
vovans, возможно белая страница из-за того, что забыл где-нибудь в viewtopic поставить запятую или точку с запятой при редактировании.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
Up.
ревизия 29:
Мод предупреждений от Artoodetoo (Могут оставлять админы и модераторы).
stopwords объеденены в один файл. За основу взял подборку слов от Freeman.
Изменены все стили. Теперь они ограничены по ширине от 700 до 1100 точек и размещаются по центру экрана.
Стили личных сообщений подогнаны к IE6.
---------
Перекодирование списков не сделано, т.к. Smilies до сих пор не протестировал его.
ББ-коды обтекаемых картинок включены в парсер.
Редактировался Visman (2010-11-14 10:04:07)
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline