Русское сообщество fluxbb

Visman

Гость

MOD: Защита админов и модераторов по IP

Почитал раздел безопасности, полистал форум.
Такого мода не нашел

Пробная версия для предложений и критики.

Что делает:
При каждом обращении админа или модератора к форума проверяется его IP с тем который записан в таблице users (используется поле registration_ip, чтобы новые не плодить).
Если не совпадают, куки на стороне пользователя сбрасывается и для него форум открывается как для гостя.
Если такое произошло админ или модератор должен зайти на форум по новой, чтобы его IP адрес обновился в users.

1. Файл include\functions.php. В функции check_cookie найти это

        if (!isset($pun_user['id']) || md5($cookie_seed.$pun_user['password']) !== $cookie['password_hash'])
        {
            pun_setcookie(0, random_pass(8), $expire);
            set_default_user();

            return;
        }

после вставить это

// START MOD - проверка ip админа и модератора
    if ($pun_user['g_id'] < PUN_GUEST && $pun_user['registration_ip'] != get_remote_address())
        {
            pun_setcookie(0, random_pass(8), $expire);
            set_default_user();

            return;
        }
// END MOD - проверка ip админа и модератора

Сохранить файл.

2. Файл login.php. Найти вот это

    if ($group_id == PUN_UNVERIFIED)
        $db->query('UPDATE '.$db->prefix.'users SET group_id='.$pun_config['o_default_user_group'].' WHERE id='.$user_id) or error('Unable to update user status', __FILE__, __LINE__, $db->error());

после вставить это

// START MOD - проверка ip админа и модератора
  $db->query('UPDATE '.$db->prefix.'users SET registration_ip=\''.get_remote_address().'\' WHERE id='.$user_id) or error('Unable to update user IP', __FILE__, __LINE__, $db->error());
// END MOD - проверка ip админа и модератора

Сохранить файл.

nobody

Гость

Re: MOD: Защита админов и модераторов по IP

При каждом обращении админа или модератора к форума проверяется его IP с тем который записан в таблице users (используется поле registration_ip, чтобы новые не плодить).
Если не совпадают, куки на стороне пользователя сбрасывается и для него форум открывается как для гостя.
Если такое произошло админ или модератор должен зайти на форум по новой, чтобы его IP адрес обновился в users.

Что-то я не прочувствовал идею... Какой во всей этой проверке смысл? Чтобы кто-то другой, заполучив пароль админа, не получил его прав залогинившись? А если мой ай-пи динамический? Или я туплю?

Visman

Гость

Re: MOD: Защита админов и модераторов по IP

Какой во всей этой проверке смысл?

Если куки сопрут, то с другого IP он действовать не будет и форум запросит ввести пароль.

тобы кто-то другой, заполучив пароль админа, не получил его прав залогинившись?

А как кто-то другой может получить пароль? Или я чего не понимаю

А если мой ай-пи динамический?

При изменении IP у админа или модератора ему надо будет залогинится по новому.

nobody

Гость

Re: MOD: Защита админов и модераторов по IP

А как кто-то другой может получить пароль? Или я чего не понимаю

Что значит "как"? С помощью утюга и паяльника, естесственно!
В общем, теперь понял твою идею.