|
|
14.10.2006, 15:38
|
|
Andrew
Зарегистрирован:
2004-04-30
Сообщений: 134
|
В любом случае потребуется вмешательство в код системы.
Я, кстати, тоже думал об этом и мне кажется, неплохом выходом был бы следующий алгоритм:
Меняем переменную $AUTHORIZE_BY на $ADMIN_AUTHORIZE_BY и $USER_AUTHORIZE_BY.
И вводим правило, при котором одновременная авторизация и на сайте и в админке возможна только в том случае, если не определена переменная $ADMIN_AUTHORIZE_BY. То есть всЈ работает как сейчас и авторизуются по полю Login, указанному в vars.inc.php для переменной $USER_AUTHORIZE_BY.
Параноики же вводят дополнительное поле, например AdminLogin (и указывают его в vars... для $ADMIN_AUTHORIZE_BY, заменяя станартное Login), заполняемое только у тех пользователей, у которых есть необходимость работать с админкой - собственно, заполняется оно только из интерфейса управления пользователями, а при внешней регистрации - недоступно. Таким образом, у внешних пользователей это поле пустое, потому логин просто не подходит.
...жизнь прекрасна, когда правильно подобраны антидепрессанты...
|
|
|
16.10.2006, 17:28
|
|
Гость
Гость
|
Да, хотелось бы иметь это на уровне ядра.
Типа галочки у группы пользователей типа "разрешен вход в админку"
|
|
|
17.10.2006, 16:07
|
|
DiGGy
DiGGy
Зарегистрирован:
2005-04-04
Сообщений: 1546
|
Ребят, каждый из Вас точно знает, что именно ему нужно от системы - ну и допишите это сами ручками, че лениться-то? Если ждать от разработчиков исполнения всех хотелок, то хотелка очень быстро отвалится и обламается...
На счет темы:
1. На одном сайте хватило обычного закрытия каталога /netcat/admin/ на http авторизацию
2. На другом сайте написал ручками отдельный шаблон юзеров, куда они все успешно регились, дописал существующие шаблоны... и получил две никак не связанные системы авторизации: админка и внешние юзеры...
Temet nosce...
|
|
|
19.10.2006, 13:43
|
|
Гость
Гость
|
Не надо здесь про хотелку. NetCat - платная система, пусть тоже усилия прикладывают.
Изменять код ядра в принципе неправильно - сразу отказываешь от обновлений.
А вот дописывание своего шаблона, модуля. Это да. Но тогда теряется смысл "Интерфейса пользователя". Отсюда и предложение разработчикам довести до ума.
|
|
|
19.10.2006, 19:44
|
|
Кирилл Хряпин
NetCat
Зарегистрирован:
2006-06-15
Сообщений: 207
|
Пожелание "не пускать в админку пользователей, которым там делать нечего" находится в списке того, что должно быть обязательно реализовано в следующей версии системы.
|
|
|
19.10.2006, 23:51
|
|
Гость
Гость
|
Спасибо, kx!
Прямо бальзам на душу.
|
|
|
20.10.2006, 01:21
|
|
Andrew
Зарегистрирован:
2004-04-30
Сообщений: 134
|
Dark Star писал(а):Спасибо, kx!
Прямо бальзам на душу.
Только времени до официальной поставки этого бальзама ещЈ пройдЈт довольно много. Не забывайте, что на носу только третье обновление текущей версии, так что до трЈшки не меньше года. Мне так кажется, по крайней мере 
ЗЫ. Буду чертовски рад, если ошибусь!
ЗЫЗЫ. Кстати, хотелось бы вообще более широких пользовательских настроек, в частности, разрешение уполномоченным пользователям использовать статистику и производить архивацию системы.
ЗЫЗЫЗЫ. Пока всЈ ;)
...жизнь прекрасна, когда правильно подобраны антидепрессанты...
|
|
|
11.02.2007, 10:46
|
|
Гость
Гость
|
kx писал(а):Пожелание "не пускать в админку пользователей, которым там делать нечего" находится в списке того, что должно быть обязательно реализовано в следующей версии системы.
Спасибо kx, Это было 19 октября 2006, а 26 октября 2006
Опубликовано Обновление #3 для версии 2.4.
- даже за неделю надо было добавить в патч,
но с тех прошло уже пол-года!
Ради одной этой дыры надо срочно патч выпускать.
Не понимаю почему такой расслабон у разработчиков -
делают вид что проблемы не существует,
а ведь технически здесь ничего сложного, не так ли?
А ведь ставят под угрозу своих клиентов, которые наивно полагают что "все вопросы безопасности решены на уровне cms".
Люди, купившие систему, пришли бы в ужас узнай истинное положение дел.
|
|
|
12.02.2007, 12:42
|
|
Кирилл Хряпин
NetCat
Зарегистрирован:
2006-06-15
Сообщений: 207
|
Максим! Это не "дыра".
Хочу обратить Ваше внимание на то, что пользователь, зарегистрированный в системе, если ему не присвоены права, действительно может зайти по адресу /netcat/admin/, но увидит лишь сообщение "У вас нет доступа для осуществления операции". Реально сделать такой пользователь ничего не сможет, равно как и увидеть то, что его глазам не предназначается.
Ваши обвинения по поводу "расслабона у разработчиков" абсолютно не обоснованы. Мы никогда не "делаем вид", что проблем не существует; все возникающие проблемы мы решаем (как правило при обращении в Helpdesk - в течение одного-двух дней). В прошлом действительно были случаи обнаружения способов возможного несанкционированного доступа к данным, и в таких случаях сразу же выпускались патчи (и уведомлялись пользователи о необходимости установки данных патчей).
Наших пользователей "под удар" мы никогда не поставим, потому что от этого зависит само существование нашей системы, все ее будущее. Если бы "дыра", о которой Вы говорите, действительно имела место быть, мы бы попросту давным-давно разорились.
Прошу Вас, Максим, не устраивать панику и не распространять сведения, не соответствующие действительности.
|
|
|
12.02.2007, 16:28
|
|
Гость
Гость
|
да, kx прав, не надо паники и голословных обвинений - вы отвлекаете разработчиков на написание длинных объяснительных постов по поводу того, что особенность системы - не дыра в безопасности. Они в курсе данного недочета и написали о том, что его исправят. По поводу быстрого устранения возможных ошибок в системе - helpdesk реагирует быстро и адекватно, проверено.
|
