Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Железная защита форума при помощи .htaccess & .htpasswd

Темы по наиболее часто задаваемым вопросам по phpBB 2.0.x. Читать в первую очередь!
Аватара пользователя
WingLion
phpBB 1.4.4
Сообщения: 179
Стаж: 19 лет 9 месяцев
Откуда: St.Petersburg

Сообщение WingLion »

Пост по просьбе Секох

Неточность
YarNET писал(а):Итак, в связи с участившимися взломами форумов из-за различного рода уязвимостей в коде
исходного phpBB, есть предложение несколько уменьшить риск полной потери контроля на администрируемом
вами форуме за счет использования паролирования директории /admin/ и файла modcp.php ...
Это правильно, но этого все еще недостаточно.
Файл posting.php содержит средства, пользуясь которыми, неленивый взломщик может удалять чужие мессаги по
одной. Чтобы это закрыть, надо отредактировать posting.php так, чтобы он не принимал права
модераторов/админов для изменения чужих постов. Например, так -
было:
if ( $post_info['poster_id'] != $userdata['user_id'] && !$is_auth['auth_mod'] )
стало:
if ( $post_info['poster_id'] != $userdata['user_id'] )
При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.
спасиб :)
С уважением, WingLion
Логика - это такая вещь, которая либо есть, либо ее нет. Третьего не дано!
Посыл в поиск = посыл на три советских буквы. Молитесь - скоро ночь!
Xpert
phpBB Guru
phpBB Guru
Сообщения: 5484
Стаж: 20 лет 9 месяцев
Поблагодарили: 2 раза

Сообщение Xpert »

Мда, и вправду...
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Аватара пользователя
DarkSwift
phpBB 1.2.0
Сообщения: 12
Стаж: 19 лет 10 месяцев

Сообщение DarkSwift »

У меня такая проблема. Я с помощью утилиты (ссылка на которую дона выше) создал .htpasswd. Далее сделал все по инструкции. Доступ к защищаемым файлам действительно прикрылся. Правда пароль, который я вводил в утиле не подходит к имени... Сообщение с предложением ввести имя и пароль выходит заново... Как исправить?
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 5366
Стаж: 19 лет 11 месяцев
Откуда: Питер
Благодарил (а): 194 раза
Поблагодарили: 831 раз

Сообщение Siava »

DarkSwift
Путь к файлу парля должен быть полным (от корня сервера)
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x 3.5.x)
NCom
phpBB 2.0.11
Сообщения: 810
Стаж: 18 лет 11 месяцев
Откуда: Ставрополь
Забанен: Бессрочно

Сообщение NCom »

так как у меня ip постоянный, я привязал админку по ip и все...ну конечно запаролил..ю.но не знаю зачем :)
Аватара пользователя
kir85
phpBB 1.0.0
Сообщения: 2
Стаж: 18 лет 11 месяцев
Откуда: Нижний Новгород

Сообщение kir85 »

apaxuc писал(а):
ghost46 писал(а): Мне тут подсказали,
чтоб узнать адрес можно исполнить скриптик:

Код: Выделить всё

<?php
echo getcwd();
?>
И сервер покажет полный путь.
(может кому надо...)
Огромный РЕСПЕКТ!!! getcwd(); то, что надо!!!
Аватара пользователя
DarkSwift
phpBB 1.2.0
Сообщения: 12
Стаж: 19 лет 10 месяцев

Сообщение DarkSwift »

С путем к файлу с поролемя разобрался, он прописывался в конфигурационной панели сервера.
Теперь новый прикол.
Когда идешь к защищенному ресурсу, вроде modcp.php

modcp.php?t=56&mode=move&sid=2f42cfe149bb1c1d580c979d186eeb13

Он выводит сообщение:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, darkswift@mail.ru and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.33 Server Port 80

Добавлено спустя 9 часов 9 минут 29 секунд:

.htaccess у меня имеет такой код.

<Files modcp.php>
AuthName "Access to the panel of the moderator"
AuthType Basic
require valid-user
</Files>
Аватара пользователя
Upiter
phpBB 1.4.3
Сообщения: 84
Стаж: 19 лет 2 месяца

Сообщение Upiter »

WingLion писал(а):При этом, чтобы админы могли сами модерить, нужно записать исходную версию файла под другим именем. Ее
придется защищать так же, как и modcp.
А поподробнее можно? :roll:
I tried so hard
And got so far...
Аватара пользователя
Neonaft
phpBB 1.4.4
Сообщения: 114
Стаж: 18 лет 10 месяцев

Сообщение Neonaft »

YarNET писал(а):Скачать программу для создания паролей здесь
А ссылка уже нерабочая. Можно обновить?
DimTic
phpBB 1.0.0
Сообщения: 1
Стаж: 18 лет 10 месяцев

Сообщение DimTic »

вобщем были все теже проблемы что и у других с неверным паролем.
Вылечил скачкой генератора http://www.softtime.ru/files/htpasswd.zip
строка запуска htpasswd.exe -cm .htpasswd Имя_Юзера
получившийся .htpasswd переписал на место и все заработало
PifaGor
phpBB 1.0.0
Сообщения: 4
Стаж: 18 лет 9 месяцев

Сообщение PifaGor »

Подскажите а какие права лучше установить на папку где лежит пароль и на .htaccess?
Кстати насчет posting.php изменил и сохранил изначальный файл под новым именем, надо ли где то путь к новому файлу прописывать?
PS ну вроде на папку с паролем надо ставить 755 так как иначе не работает а вот с posting.php непонятно, не разьясните ли поподробнее.
Последний раз редактировалось PifaGor 27.02.2006 17:32, всего редактировалось 5 раз.
NCom
phpBB 2.0.11
Сообщения: 810
Стаж: 18 лет 11 месяцев
Откуда: Ставрополь
Забанен: Бессрочно

Сообщение NCom »

:D
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 5366
Стаж: 19 лет 11 месяцев
Откуда: Питер
Благодарил (а): 194 раза
Поблагодарили: 831 раз

Сообщение Siava »

NCom
:?

PifaGor
Права 444 и владелец каталога тот, от чьего имени запускается Apache.
Можно попробовть и 404 для маниакальных случаев :lol:
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x 3.5.x)
Аватара пользователя
crash
Former team member
Сообщения: 6517
Стаж: 20 лет 5 месяцев
Откуда: Бердск

Сообщение crash »

Siava писал(а):Можно попробовть и 404 для маниакальных случаев
тогда уже 400
Как правильно задавать вопросы
Для особо одаренных: поиск - это есть круто.
FAQ v.2 | FAQ v.3 | Шаблон запроса
Аватара пользователя
Siava
Поддержка
Поддержка
Сообщения: 5366
Стаж: 19 лет 11 месяцев
Откуда: Питер
Благодарил (а): 194 раза
Поблагодарили: 831 раз

Сообщение Siava »

crash
Тогда в каталог апача не сможет войти и прочитать парольный файл :lol:
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb 2.0.x 3.5.x)

Вернуться в «FAQ (phpBB 2.0.x)»