Сборка FluxBB 1.5.xx от Visman'а

Visman · 2010-11-11 16:33:31

artoodetoo, В стандартном варианте соли вообще нет.
У меня соль одна для всех.
З.Ы. Куда соль-то прятать для каждого юзера!?

Scaf · 2010-11-11 16:40:53

Спасибо за разъяснения
Visman как сильно влияют ваши моды на скорость работы форума?
Возможно ли кешировать запросы в базе на форуме?

Редактировался Scaf (2010-11-11 16:42:57)

Visman · 2010-11-11 16:48:13

На скорость не должны сильно влиять, т.к. сам заинтересован, чтобы у меня на сайте форум бегал быстро.
А про кэширование ни чего не скажу, т.к. этим вопросом не интересовался.
З.Ы. На главной у меня на два запроса меньше к базе идет по отношению к стандартному форуму

Scaf · 2010-11-11 16:56:15

Это я вижу про запросы,
Серверное кэширование
Клиентское кэширование
SQL-кэширование
в эту сторону посмотрите насчет форума на досуге!

Редактировался Scaf (2010-11-11 16:57:05)

Freeman · 2010-11-11 17:30:11

artoodetoo пишет:

теоретически можно путем тупого перебора подобрать на своем локальном компе общую для всего форума соль.

Я правильно понимаю, что отсутствующая соль — тоже соль?

artoodetoo · 2010-11-11 19:56:38

FluxBB v1.4
include/functions.php

function check_cookie(&$pun_user)
...
md5($cookie_seed.$pun_user['password'])

$cookie_seed это общая для всех соль

PunBB v1.3
include/functions.php

function cookie_login(&$forum_user)
...
sha1($forum_user['salt'].$forum_user['password'].forum_hash(intval($cookie['expiration_time']), $forum_user['salt']))

$forum_user['salt'] это индивидуальная для пользователя соль. хранится в users.
Индивидуальная соль не спасет если украден users. Она повышает устойчивость к брутфорс атаке, как я описал выше.

p.s. я не считаю, что надо делать в точности как в 1.3. а вот к непереносимости старых паролей при апгрейде/даунгрейде такое различие точно приводит

artoodetoo · 2010-11-11 20:14:59

В принципе можно реализовать алгоритм, где будет вычисляться случайная соль при каждой новой авторизации.

Visman · 2010-11-11 20:29:42

artoodetoo, тут

md5($cookie_seed.$pun_user['password'])

$pun_user['password'] в стандартном случае это sha1(пароль), а в моем случае sha1(пароль.соль)
т.е. работы взломщикам больше

vovans · 2010-11-12 22:23:23

Обновился до 27-й ревизии, нукатил пару модов, всё отлично.

Но хотелось бы ещё мод "Friendly URL".

Затык у меня вышел такой. В include/functions.php надо:

#
#---------[ 12. FIND ]---------------------------------------------
#

    global $pun_config, $lang_common;

    if (!preg_match('#^'.preg_quote(str_replace('www.', '', $pun_config['o_base_url']).'/'.$script, '#').'#i', str_replace('www.', '', (isset($_SERVER['HTTP_REFERER']) ? urldecode($_SERVER['HTTP_REFERER']) : ''))))

#
#---------[ 16. REPLACE WITH ]---------------------------------------------------
#

    global $pun_config, $lang_common, $http_referer;

    if (!preg_match('#^'.preg_quote(str_replace('www.', '', $pun_config['o_base_url']).'/'.$script, '#').'#i', str_replace('www.', '', urldecode($http_referer))))

Я так понимаю, в сабже код совсем иной на этот счёт ((

Кажется, о нём идёт речь:

//
// Make sure that HTTP_REFERER matches $pun_config['o_base_url']/$script
// ********* новые ф-ии проверки подлинности - Visman
function confirm_referrer($script)
{
    global $pun_user, $lang_common, $pun_config;

    if (isset($_POST['csrf_hash']))
        $hash = $_POST['csrf_hash'];
    else if (isset($_GET['csrf_hash']))
        $hash = $_GET['csrf_hash'];
    else
        message($lang_common['Bad referrer']);

    eregi('^(https?\://)(www\.)?(.*)$', $pun_config['o_base_url'], $regs);
    $script = $regs[3].'/'.$script.get_remote_address();
    $new_hash = pun_hash($script.$pun_user['username']);

    if ($new_hash != $hash)
        message($lang_common['Bad referrer']);
}

function csrf_hash()
{
    global $pun_user;

    eregi('^(www\.)?(.*)$', $_SERVER['HTTP_HOST'], $regs);
    $script = $regs[2].$_SERVER['SCRIPT_NAME'].get_remote_address();

    return pun_hash($script.$pun_user['username']);
}
// ********* новые ф-ии проверки подлинности - Visman

Правильно я понял? Есть ли возможность прикрутить этот мод к данной сборке? В целом форум очень нравится, но url.... печаль, печаль ((

Visman · 2010-11-13 07:02:38

vovans, думается мне, что можно тот вариант, который в сборке стоит не менять при установке этого мода, т.к. он не привязан к HTTP_REFERER. Главное чтобы из форм с проверкой не была удалена передача переменной csrf_hash (как через POST, так и через GET).
З.Ы. Если не будет работать, то просто замени ф-ию confirm_referrer() на стандартную и внеси в нее изменения мода, а csrf_hash() не удаляй.

Scaf · 2010-11-13 09:03:05

Visman включите в сборку следующие моды от сюда http://fluxbb.org/resources/mods/
Всех включать сразу не стоит, сделать выбор администратору!
Отличный форум получиться!

scalemaster · 2010-11-13 11:54:03

Scaf, Все сразу?

Scaf · 2010-11-13 12:11:38

scalemaster пишет:

Scaf, Все сразу?

Все сразу и проверить все на совместимость и работу на актуальной версии!
А там уже сам админ разберется, какой плагин ему нужен!

Visman · 2010-11-13 12:34:25

Scaf, мне что больше заняться не чем, как всю ту кашу, которую там народ напридумывал сливать в одну кучу?
Там есть и криво работающие моды, и моды, дублирующие уже имеющиеся в сборке, и такие моды, которые совершенно ни кому не пригодятся.

Scaf · 2010-11-13 13:17:52

http://fluxbb.org/resources/mods/friendly-url/
http://fluxbb.org/resources/mods/lightbox-for-fluxbb/
http://fluxbb.org/resources/mods/recaptcha/
эти модули в сборку включить можно?

Visman · 2010-11-13 14:08:14

http://fluxbb.org/resources/mods/lightbox-for-fluxbb/ - криво работает сам Lightbox (во всяком случае у меня картинки на тесте открываются через раз, хотя сами файлы загружаются на комп полностью). Нужен нормально работающий аналог, по возможности на jQuery (т.к. он уже используется на страницах форума).
http://fluxbb.org/resources/mods/recaptcha/ - она не нужна тут, так как защита от ботов уже стоит (рекомендуется включать ее в Админке - Security - Кодировать формы ввода register.php и login.php с помощью JavaScript).
http://fluxbb.org/resources/mods/friendly-url/ - разве его можно отключить если установил? Там изменения внесены и в файл .htaccess, который через админку форума не изменишь.
И как на данный момент у хостеров обстоят дела с mod_rewrite на тарифах?

Visman · 2010-11-13 14:13:17

Scaf, вот по капче пример отлова ботов на моем форуме.

Редактировался Visman (2014-10-04 05:40:54)

vovans · 2010-11-13 22:46:13

Visman пишет:

vovans, думается мне, что можно тот вариант, который в сборке стоит не менять при установке этого мода, т.к. он не привязан к HTTP_REFERER. Главное чтобы из форм с проверкой не была удалена передача переменной csrf_hash (как через POST, так и через GET).
З.Ы. Если не будет работать, то просто замени ф-ию confirm_referrer() на стандартную и внеси в нее изменения мода, а csrf_hash() не удаляй.

Оно почти заработало. Ссылки стали человеческими. По ним я переходил до определённого предела.Вот сейчас не вспомню. Кажется, когда уже саму ветвь дискуссии пытаешься открыть, то есть последний, самый глубокий уровень вложенности, тогда только выдаёт какую-то фигню вместо сообщений. Чистый лист и пара слов (((

Сам мод очень интересный и ссылки выглядят покрасивее.... но так, чтобы втыкнуть и сразу заработало ... ((( так не получилось (( Думаю, там совсем по-мелочи надо подправить, но я не знаю толком ни пыха, ни самого внутреннего устройства форума ((

vovans · 2010-11-13 22:57:29

И как на данный момент у хостеров обстоят дела с mod_rewrite на тарифах?

на каких тарифах? )) от полторы штуки до 2.5 штук в год мод реврайт точно включён и работает как надо )) не представляю себе нормального хостера без него.

Все сразу и проверить все на совместимость и работу на актуальной версии!

Вы с ума сошли, мягко говоря. А точнее, просто не понимаете, о чём пишете.

А там уже сам админ разберется, какой плагин ему нужен!

мод меняет некоторые вещи в самом ядре форума. А нередко даже вносит изменения в структуру БД. То есть, это глупо, то, о чём вы пишите.

Потом по конкретным модам. На, с мод_реврайтом хорошо бы разобраться, но рекаптча определённо не нужна! Это самое неудобное, что можно придумать. Лучше гостям вообще запретить писать, чем так издеваться над пользователями (гостями)! Вы сами попробуйте её пару раз набрать, а потом подумайте, захочет ли кто-то на вашем форуме что-то писать. И дойдёт ли дело до второго сообщения... Все сейчас стремятся к самым простым способам ухода от спама, а мы сейчас поставим комбайн начала 2000х годов...

Лайбокс... А он отключаем полностью? Или его жабаскрипты так и будут весеть в хидере? Не самый лучшый мод. Кому надо, тот сам прикрутит.

Я вон без проблем вкрутил моды - определение ОС и юзерагента плюс быстрое (на аякс) редактирование сообщений. И не только прицепил их, а уже обновлял ревизию до текущей. Такие мелочи можно и самому сделать.

Freeman · 2010-11-13 23:09:14

vovans пишет:

Лайбокс...

Это опечатка?! В мемориз!

vovans · 2010-11-13 23:12:22

да, "т" не дожал )))

Freeman · 2010-11-13 23:15:30

Очень удачно. Что в русской, что в английской транскрипции (liebox) -- просто шедевр.

Visman · 2010-11-14 05:52:13

vovans, возможно белая страница из-за того, что забыл где-нибудь в viewtopic поставить запятую или точку с запятой при редактировании.

Visman · 2010-11-14 09:59:03

Up.
ревизия 29:
Мод предупреждений от Artoodetoo (Могут оставлять админы и модераторы).
stopwords объеденены в один файл. За основу взял подборку слов от Freeman.
Изменены все стили. Теперь они ограничены по ширине от 700 до 1100 точек и размещаются по центру экрана.
Стили личных сообщений подогнаны к IE6.

---------
Перекодирование списков не сделано, т.к. Smilies до сих пор не протестировал его.
ББ-коды обтекаемых картинок включены в парсер.

Редактировался Visman (2010-11-14 10:04:07)

lgdsl · 2010-11-15 01:18:38

чето я не найду мод предупреждений...или так обновил))

Русское сообщество fluxbb

Объявление

#126 2010-11-11 16:33:31

Re: Сборка FluxBB 1.5.xx от Visman'а

#127 2010-11-11 16:40:53

Re: Сборка FluxBB 1.5.xx от Visman'а

#128 2010-11-11 16:48:13

Re: Сборка FluxBB 1.5.xx от Visman'а

#129 2010-11-11 16:56:15

Re: Сборка FluxBB 1.5.xx от Visman'а

#130 2010-11-11 17:30:11

Re: Сборка FluxBB 1.5.xx от Visman'а

#131 2010-11-11 19:56:38

Re: Сборка FluxBB 1.5.xx от Visman'а

#132 2010-11-11 20:14:59

Re: Сборка FluxBB 1.5.xx от Visman'а

#133 2010-11-11 20:29:42

Re: Сборка FluxBB 1.5.xx от Visman'а

#134 2010-11-12 22:23:23

Re: Сборка FluxBB 1.5.xx от Visman'а

#135 2010-11-13 07:02:38

Re: Сборка FluxBB 1.5.xx от Visman'а

#136 2010-11-13 09:03:05

Re: Сборка FluxBB 1.5.xx от Visman'а

#137 2010-11-13 11:54:03

Re: Сборка FluxBB 1.5.xx от Visman'а

#138 2010-11-13 12:11:38

Re: Сборка FluxBB 1.5.xx от Visman'а

#139 2010-11-13 12:34:25

Re: Сборка FluxBB 1.5.xx от Visman'а

#140 2010-11-13 13:17:52

Re: Сборка FluxBB 1.5.xx от Visman'а

#141 2010-11-13 14:08:14

Re: Сборка FluxBB 1.5.xx от Visman'а

#142 2010-11-13 14:13:17

Re: Сборка FluxBB 1.5.xx от Visman'а

#143 2010-11-13 22:46:13

Re: Сборка FluxBB 1.5.xx от Visman'а

#144 2010-11-13 22:57:29

Re: Сборка FluxBB 1.5.xx от Visman'а

#145 2010-11-13 23:09:14

Re: Сборка FluxBB 1.5.xx от Visman'а

#146 2010-11-13 23:12:22

Re: Сборка FluxBB 1.5.xx от Visman'а

#147 2010-11-13 23:15:30

Re: Сборка FluxBB 1.5.xx от Visman'а

#148 2010-11-14 05:52:13

Re: Сборка FluxBB 1.5.xx от Visman'а

#149 2010-11-14 09:59:03

Re: Сборка FluxBB 1.5.xx от Visman'а

#150 2010-11-15 01:18:38

Re: Сборка FluxBB 1.5.xx от Visman'а

Подвал доски