Регистрация
Вход через соцсети
Восстановление пароля

Внешние пользователи

Новый топик
Страницы: 1  |  2
14.10.2006, 15:38
Ответить | Цитировать
Andrew

Зарегистрирован:
2004-04-30
Сообщений: 134

В любом случае потребуется вмешательство в код системы.
Я, кстати, тоже думал об этом и мне кажется, неплохом выходом был бы следующий алгоритм:
Меняем переменную $AUTHORIZE_BY на $ADMIN_AUTHORIZE_BY и $USER_AUTHORIZE_BY.
И вводим правило, при котором одновременная авторизация и на сайте и в админке возможна только в том случае, если не определена переменная $ADMIN_AUTHORIZE_BY. То есть всЈ работает как сейчас и авторизуются по полю Login, указанному в vars.inc.php для переменной $USER_AUTHORIZE_BY.
Параноики же вводят дополнительное поле, например AdminLogin (и указывают его в vars... для $ADMIN_AUTHORIZE_BY, заменяя станартное Login), заполняемое только у тех пользователей, у которых есть необходимость работать с админкой - собственно, заполняется оно только из интерфейса управления пользователями, а при внешней регистрации - недоступно. Таким образом, у внешних пользователей это поле пустое, потому логин просто не подходит.


...жизнь прекрасна, когда правильно подобраны антидепрессанты...
16.10.2006, 17:28
Ответить | Цитировать
Гость
Гость

Да, хотелось бы иметь это на уровне ядра.
Типа галочки у группы пользователей типа "разрешен вход в админку"
17.10.2006, 16:07
Ответить | Цитировать
DiGGy
DiGGy
DiGGy

Зарегистрирован:
2005-04-04
Сообщений: 1546

Ребят, каждый из Вас точно знает, что именно ему нужно от системы - ну и допишите это сами ручками, че лениться-то? Если ждать от разработчиков исполнения всех хотелок, то хотелка очень быстро отвалится и обламается...

На счет темы:
1. На одном сайте хватило обычного закрытия каталога /netcat/admin/ на http авторизацию
2. На другом сайте написал ручками отдельный шаблон юзеров, куда они все успешно регились, дописал существующие шаблоны... и получил две никак не связанные системы авторизации: админка и внешние юзеры...

Temet nosce...
19.10.2006, 13:43
Ответить | Цитировать
Гость
Гость

Не надо здесь про хотелку. NetCat - платная система, пусть тоже усилия прикладывают.
Изменять код ядра в принципе неправильно - сразу отказываешь от обновлений.
А вот дописывание своего шаблона, модуля. Это да. Но тогда теряется смысл "Интерфейса пользователя". Отсюда и предложение разработчикам довести до ума.
19.10.2006, 19:44
Ответить | Цитировать
Кирилл Хряпин

Зарегистрирован:
2006-06-15
Сообщений: 207

Пожелание "не пускать в админку пользователей, которым там делать нечего" находится в списке того, что должно быть обязательно реализовано в следующей версии системы.
19.10.2006, 23:51
Ответить | Цитировать
Гость
Гость

Спасибо, kx!
Прямо бальзам на душу.
20.10.2006, 01:21
Ответить | Цитировать
Andrew

Зарегистрирован:
2004-04-30
Сообщений: 134

Dark Star писал(а):
Спасибо, kx!
Прямо бальзам на душу.


Только времени до официальной поставки этого бальзама ещЈ пройдЈт довольно много. Не забывайте, что на носу только третье обновление текущей версии, так что до трЈшки не меньше года. Мне так кажется, по крайней мере улыбка

ЗЫ. Буду чертовски рад, если ошибусь!

ЗЫЗЫ. Кстати, хотелось бы вообще более широких пользовательских настроек, в частности, разрешение уполномоченным пользователям использовать статистику и производить архивацию системы.

ЗЫЗЫЗЫ. Пока всЈ ;)

...жизнь прекрасна, когда правильно подобраны антидепрессанты...
11.02.2007, 10:46
Ответить | Цитировать
Гость
Гость

kx писал(а):
Пожелание "не пускать в админку пользователей, которым там делать нечего" находится в списке того, что должно быть обязательно реализовано в следующей версии системы.

Спасибо kx, Это было 19 октября 2006, а 26 октября 2006
Опубликовано Обновление #3 для версии 2.4.

- даже за неделю надо было добавить в патч,
но с тех прошло уже пол-года!

Ради одной этой дыры надо срочно патч выпускать.


Не понимаю почему такой расслабон у разработчиков -
делают вид что проблемы не существует,
а ведь технически здесь ничего сложного, не так ли?

А ведь ставят под угрозу своих клиентов, которые наивно полагают что "все вопросы безопасности решены на уровне cms".
Люди, купившие систему, пришли бы в ужас узнай истинное положение дел.

12.02.2007, 12:42
Ответить | Цитировать
Кирилл Хряпин

Зарегистрирован:
2006-06-15
Сообщений: 207

Максим! Это не "дыра".

Хочу обратить Ваше внимание на то, что пользователь, зарегистрированный в системе, если ему не присвоены права, действительно может зайти по адресу /netcat/admin/, но увидит лишь сообщение "У вас нет доступа для осуществления операции". Реально сделать такой пользователь ничего не сможет, равно как и увидеть то, что его глазам не предназначается.

Ваши обвинения по поводу "расслабона у разработчиков" абсолютно не обоснованы. Мы никогда не "делаем вид", что проблем не существует; все возникающие проблемы мы решаем (как правило при обращении в Helpdesk - в течение одного-двух дней). В прошлом действительно были случаи обнаружения способов возможного несанкционированного доступа к данным, и в таких случаях сразу же выпускались патчи (и уведомлялись пользователи о необходимости установки данных патчей).

Наших пользователей "под удар" мы никогда не поставим, потому что от этого зависит само существование нашей системы, все ее будущее. Если бы "дыра", о которой Вы говорите, действительно имела место быть, мы бы попросту давным-давно разорились.

Прошу Вас, Максим, не устраивать панику и не распространять сведения, не соответствующие действительности.
12.02.2007, 16:28
Ответить | Цитировать
Гость
Гость

да, kx прав, не надо паники и голословных обвинений - вы отвлекаете разработчиков на написание длинных объяснительных постов по поводу того, что особенность системы - не дыра в безопасности. Они в курсе данного недочета и написали о том, что его исправят. По поводу быстрого устранения возможных ошибок в системе - helpdesk реагирует быстро и адекватно, проверено.
198 196 2007-02-12 16:28:07 6933
Страницы: 1  |  2
Описание проекта