Ошибка при входе на форум пользователей с именами русскими буквами.

Olkon · 21 апреля 2006, 17:58:01

Когда логин набирается по русски то при наборе логина и пароля вылетает окно - неправильный пароль, после чего надо в этом окне еще раз набрать пароль и все заработает.

проверить можно с логином "тест" и паролем "12345"
http://www.k111.ru/forum

тут вот обсуждение этого дела...
http://www.k111.ru/forum/index.php?topic=106.new#new

sowa · 21 апреля 2006, 20:44:50

а если в вылетевшем окне ошибиться в вводе пароля (по крайней мере в первый раз, после регистрации), вылетит окно с отправкой ссылки на смену пароля по почте.
Говорят, что сменив пароль, форум тебя опять не пускает,
грит шо неверные данные якобы. нужно чтобы прошел час после смены пароля.
Но мне просто выпадало опять окно с просьбой ввести майл или имя пользователя, для отправки письма с сылкой на смену пароля (тестил на локальном компе).

нашел решение http://www.simplemachines.org/community/index.php?topic=79649.0
как кто думает, как оно может влиять на безопасность?

Olkon · 22 апреля 2006, 00:01:41

ЦитироватьПофиксил, убрав скрытое поле hash_passwrd из всех форм входа.

Кто б еще подробно объяснил как это сделать правильно и стоит ли делать вообще? Хотя пользователи недовольны и ропщут, значит надо что-то предпринимать.

sowa · 23 апреля 2006, 16:23:27

Olkon, поддерживаю.
Сейчас попробую убрать у себя - результаты - скажу.
Опубликовано: 22 Апреля 2006, 07:33:19

удалил строки "<input type="hidden" name="hash_passwrd" value="" />" из 2х файлов.
Помогло от обоих проблем, локально.
Но ругается на ошибки немного...
Опубликовано: 22 Апреля 2006, 10:16:56

От ошибки помогает закоментарить сироку в скрипте.
Строка 446 "doForm.admin_hash_pass.value = hex_sha1(hex_sha1(username.toLowerCase() + doForm.admin_pass.value) + cur_session_id);"
файла Themes/default/script.js.

Хорошо-ли все это...

PREMIER · 24 апреля 2006, 15:39:20

Ну так, чего получилось? Можно кого-нибудь попросить подробно описать решение проблеммы, по шагам, из каких файлов, что удалять, чтобы, случайно чего-будь лишнего не удалить. Заранее спасибо.

sowa · 24 апреля 2006, 16:07:37

PREMIER - погоди - у меня накрылся после "лечения" вход для юзеров с английскими никами. Помогло только стирание кукисов браузера, у них...
Пока у меня нет алгоритма с проверенными результатами. Будет - напишу. Но насколько это снижает безопасность форума мне не известно...

PREMIER · 24 апреля 2006, 16:35:04

Сейчас попробовал сам, удалил строку "<input type="hidden" name="hash_passwrd" value="" />" из файла index.template.php (в одном месте) и из Login.template.php (в двух местах). Нормально работает, ни каких глюков не заметил, пока не на что не ругается, но всё же хотелось бы узнать опыт и мнение других пользователей SMF, к чему это может привести. И вообще, зачем эта строка была нужна, зачем её туда засунули, а нам теперь приходиться удалять.
Опубликовано: 24 Апреля 2006, 16:31:29

Я сразу проверил вход и с английскими никами, тоже работает.............. пока возможно, так же проверил пароли: цифровые, латинские и русские, тоже без проблемм, но глюки других меня настараживают, потому как они могут и меня коснуться, но потом. Давайте будем активно в этом вопросе разбираться.

sowa · 24 апреля 2006, 21:15:04

PREMIER - у тебя в настройках php видимо не стоит сообщать обо всех ошибках...
У меня вот при таком методе как ты сделал - локально нет глюков, а если запустиь через отладку или у пользователей на хостинге - ошибка, в окошке отдельном - "hash_passwrd есть null или не является объектом". Меня это раздражает.

Новая версия исправления от меня -
1. Файлы *.php не трогать совсем, оставить как в поставке.
2. в файле "script.js" найти строку
"doForm.hash_passwrd.value = hex_sha1( hex_sha1(doForm.user.value.toLowerCase()+doForm.passwrd.value )+cur_session_id);" - она примерно №446.
3. ПЕРЕД этой строкой написать строчку - doForm.user.value = doForm.user.value + "";
4. Всё!

Olkon · 24 апреля 2006, 23:54:25

sowa

Мне не помогло. Наверное потому, что у меня файл script.js есть только в дефаултной теме, а в той теме, которая стоит у меня по умолчанию для всех пользователей такого файла нет. Т.о. что менял я его в themes/default, что не менял - толку нуль.

sowa · 25 апреля 2006, 05:20:55

есть ощущение, что при первом входе не помогает, а при последующих входах - уже работает?

PREMIER · 25 апреля 2006, 14:59:12

Olkon, я думаю, что Вам не стоит переживать из-за того, что в используемой Вами теме нет файла script.js, насколько я помню, если в используемой теме нет какого-то файла, то он берётся из папки default и нормально работает или я не прав?

sowa, что Вы имеете ввиду, говоря, что при первом входе не работает, если то, что каждый раз пользователю с "русским" ником, при первом наборе пароля выводится сообщение, что пароль неверен, а после второй попытки вход проходит нормально, то у меня так было и раньше, до использования вашей рекомендации, если Вы хотели сказать, что изменения вступаю в силу не сразу, а через некоторое время, то у меня к сожалению, даже по истечении продолжительного периода времени, за который я не однократно перезагрузил сервер и очистил все временные и закэшированные файлы, к сожалению, всё так же не работает по нормальному вход для пользователей с "русскими" именами, может вы найдёте время, чтобы посоветовать, что-то ещё, что могло бы исправить сложившуюся проблемму? Заранее спасибо.

И ещё хотелось бы узнать, а с чем мы собственно говоря боремся, что мешает нормальному входу, может кто знает? Провятите;)

Mavn · 25 апреля 2006, 16:25:42

Olkon
Если нет в папке скрипта это еще не значит что он не отрабатывается

Код Выделить


<script language="JavaScript" type="text/javascript" src="http://www.k111.ru/forum/Themes/default/script.js?rc2"></script>

PREMIER
Обсалютно прав потому как большинство скриптов картинок и всего прочего в случае если не прописано явно то берется из папки default

sowa · 25 апреля 2006, 19:34:05

PREMIER, я не знаю с чем борюсь...
Дома - Apache/1.3.33 (Win32) PHP/4.4.0 - ошибка исправилась. (проверил еще раз, только что)
На хостинге у провайдера - нет! (PHP/4.4.2, на free'шке ). Сейчас проверяю в чем тут разница...

Я так понимаю, что русские буквы в имени пользователя неправильно обрабатываются скриптом
script.js, что приводит к передаче в пхп неверного значения переменной...

Опубликовано: 25 Апреля 2006, 16:51:10

Ошибка как то связана с кодировками что ли?
Для имени "Оля" мне помог такой код -

ЦитироватьdoForm.user.value = doForm.user.value.toLowerCase();
for (var i = 0; i < doForm.user.value.length; i++)
{
var chr = "Н";
if (chr == doForm.user.value[j])
{
doForm.user.value[j] = "о";

}
}

помещенный перед строкой шифрования ввода "doForm.hash_passwrd.value = hex_sha1(..."
Теперь надо эту мысль переварить...

Опубликовано: 25 Апреля 2006, 19:10:14

Помогает (у моего провайдера), со второго захода на форум даже такой код -

Цитироватьfor (var i = 0; i < doForm.user.value.length; i++)
{
var chr = "Н";
if (chr == doForm.user.value[j])
{
// doForm.user.value[j] = "о";
}
}

Который не делает совсем ничего вообще, с моей точки зрения. Но наверное при этом как то меняется кодировка русских символов, что ли.
Пойду отдыхать насегодня, может кто то еще эксперементирует, а?

PREMIER · 25 апреля 2006, 20:07:23

sowa, попериваривайте пожалуйста, а то у меня лежит очень толстая книжка по Java и JavaScript, но я пока к сожалению не освоил эту информацию

.

Господин Mavn, товарищ администратор, а эта проблема с "русскими" именами, давняя или возникла в последней версии, я для проверки зарегистрировал у Вас пользователя с именем "ПРЕМЬЕР" и паролем с русскими буквами, вижу у Вас, та же проблема, может Вы сможете обратится к создателям движка, чтобы они смогли прояснить и исправить нашу проблему или сами что-то сделаете?

Ах-Да: просто мы делаем сайт www.patriotizm.su, он конечно совсем не будет весь и полностью посвящён вопросам упоения патриотизмом, тем более оголтелым патриотизмом, вплоть до шовинизма, но всё же, как Вы наверно понимаете, нам важна возможность нормальной работы форума с "русскими" именами, а то люди не поймут.

Ах-Да-Вот: если хотите, пользователя "ПРЕМЬЕР" можете удалить.

Опубликовано: 25 Апреля 2006, 20:05:27

Я сейчас буду заливать сайт на сервак, там и потестю.

sowa · 26 апреля 2006, 06:10:19

PREMIER, какие у Вас результаты? И какая конфигурация у серовера (версия пхп)?
Я задумался глубоко, очень хочется дополнительной инфоромации...

Olkon · 26 апреля 2006, 15:37:15

У меня после правки script.js результат нулевой. Версию PHP смогу сообщить только вечером.

sowa · 27 апреля 2006, 17:22:04

Есть у меня ощущение пока - что единственный выход - проделать в скрипте какие - либо манипуляции с именем пользователя (логином), которые не выбросит никакой интерпритатор - компилятор, и которые однозначно как либо это имя обрабатывают.
А потом вернуть все как было.
Поэтому мысль такая - выводить окошко с именем пользователя и произвольным текстом...
по пути, например, сохраняя имя в другую переменную, а потом переприсваивая его назад.
Если это возможно...

Судя по тому что в пароле различается регистр ввода а имя приводится к нижнему регистру (зачем?) перед шифрованием, что то подобное делают и разработчики форума...

Будет время попробую...

Sk · 02 мая 2006, 22:31:40

чорри, никаких проверенных решений не появилось?

Olkon · 03 мая 2006, 00:57:47

Sk
Может и появилось, но мне сие не ведомо.

Единственное, что стопроцентов надежно помогает - логиниться на латыни.

sowa · 03 мая 2006, 03:22:25

у меня пока нет ничего нового.

Sk · 08 мая 2006, 04:45:46

у меня вот какая мысль по этому поводу-может сделать скрипт фильтрующий кириллицу в форме ввода логина при регистрации,и не изобретать велосипед?а может и делать не надо,гдето я видел готовый вариант,уже ищу.

Olkon · 03 июня 2006, 23:37:46

и что? меня сегодня опять пользователи долбали очередной раз за этот глюк. Чего делать-то, отцы?

YSV · 04 июня 2006, 12:53:23

Цитата: Olkon от 03 июня 2006, 23:37:46
и что? меня сегодня опять пользователи долбали очередной раз за этот глюк. Чего делать-то, отцы?

Надо на регистрации поставить фильтр на русские буквы, написать что бы ник был на английских буквах...
Можно и транслитерацию на лету забабахать.
Я уже делал могу код поискать...

Olkon · 04 июня 2006, 13:02:24

YSV

ЦитироватьЯ уже делал могу код поискать...

Если не трудно, пожалуйста.

Андрей К · 04 июня 2006, 17:24:17

Так вот в чем проблема! Значит проблема с русскими логинами. Меня тоже замучили жалобы пользователей. И что же делать - попросить всех сменить логины на латинские?

2YSV : ПОЖАЛУЙСТА ! )))) и если возможно с инструкциями.

YSV · 05 июня 2006, 11:19:35

source\Subs-Members.php
ищем

Код Выделить

	
// Only these characters are permitted.
if (preg_match('~[<>&"\'=\\\]~', $regOptions['username']) != 0 || $regOptions['username'] == '_' || $regOptions['username'] == '|' || strpos($regOptions['username'], '[code') !== false || strpos($regOptions['username'], '[/code') !== false)
		fatal_lang_error(240, false);

Вставляем после этого

Код Выделить


//**//**  Translit
$regOptions['username'] = UrlTranslit($regOptions['username']);

В конец модуля добавляем

Код Выделить


//**//**
 //URL transliterating
  function UrlTranslit($string)
  {
   $slash = "";
   $slash = "\/";

   static $LettersFrom = "абвгдезиклмнопрстуфыэйхё";
   static $LettersTo   = "abvgdeziklmnoprstufyejxe";
   static $Consonant = "бвгджзйклмнпрстфхцчшщ";
   static $Vowel = "аеёиоуыэюя";
   static $BiLetters = array(
     "ж" => "zh", "ц"=>"ts", "ч" => "ch",
     "ш" => "sh", "щ" => "sch", "ю" => "ju", "я" => "ja",
   );

   $string = preg_replace("/[_\s\.,?!\[\](){}]+/", "_", $string);
   $string = preg_replace("/-{2,}/", "--", $string);
   $string = preg_replace("/_-+_/", "--", $string);
   $string = preg_replace("/[_\-]+$/", "", $string);

   $string = strtolower( $string );
   
//here we replace ъ/ь
   $string = preg_replace("/(ь|ъ)([".$Vowel."])/", "j\\2", $string);
   $string = preg_replace("/(ь|ъ)/", "", $string);

   //transliterating
   $string = strtr($string, $LettersFrom, $LettersTo );
   $string = strtr($string, $BiLetters );

   $string = preg_replace("/j{2,}/", "j", $string);

   $string = preg_replace("/[^".$slash."0-9a-z_\-]+/", "", $string);

   return $string;
  }

Ну и предупреждать надо пользователей использовать только инглиш симбол

А зарегистрировавшихся надо вручную в таблице пользователей поменять и выслать новый логин.

Можно конечно програмку сбацать, если у Вас пользователей много и деньги есть обращайтесь.

Андрей К · 09 июня 2006, 19:38:34

спасибо. буду пробовать

---------------
уже) все работает. только вот моменты
1)человек может и не заметить что ему логин поменяли. например я обычно и не вчитываюсь в такие сообщения а просто жму активационную ссылку...
2)что делать в случае с регистрацией без активации (моментальной?)

отсюда вопрос - а можно ли вообще запретить при регистрации кириллицу? чтобы если вводишь логин с кириллицей выводилось сообщение об ошибке и регистрация не происходила?

PREMIER · 14 июня 2006, 09:10:25

Спасибо всем, кто ищет хотя бы обходные пути, но может есть прямой путь, может можно сделать так, чтобы "русские" логины работали нормально, а то хотелось бы использовать близкий сердцу и разуму русский язык. Уважаемые граждане модераторы, может скажите, в чём тут дело и когда это планируется исправить.

Mavn · 15 июня 2006, 12:15:12

мы ведем переговоры с разработчиками по этому поводу

PREMIER · 19 июля 2006, 22:17:57

Что-то уже прояснилось, по поводу корректного использования кириллицы? А то очень хочется, чтобы всё нормально работало.
: 20 Июня 2006, 10:55:45

И как там переговоры?

Olkon · 20 июля 2006, 00:01:06

да привет видимо полный. такой серьезный глюк на который натыкается лбом каждый втрой пользователь уже который месяц никак исправить не могут...

PREMIER · 20 июля 2006, 00:39:09

Жаль конечно, хоть я уже перешёл на форум-компонент для Джумлы LoudMouth, там много чего пока нету, но автор его стремительно развивает, всё же мне интересен движок SMF и я ещё планирую его применить, но вот эта проблемма с "русскими" именами всё портит.

broderix · 21 июля 2006, 14:51:50

На http://www.simplemachines.org/ автором konste был предложен такой вариант:
http://www.simplemachines.org/community/index.php?topic=79649.0

Цитировать
Предлагаю -
1. Файлы *.php не трогать совсем, оставить как в поставке.
2. в файле "script.js" найти строку
"doForm.hash_passwrd.value = hex_sha1( hex_sha1(doForm.user.value.toLowerCase()+doForm.passwrd.value )+cur_session_id);" - она примерно №446.
3. ПЕРЕД этой строкой написать строчку - doForm.user.value = doForm.user.value + "";
4. Всё!

У меня он не сработал, но я думаю тут проблема в том что функция hex_sha1() по разному работает с латинскими и русскими буквами, поэтому у меня сработал такой вариант:
в файле "script.js" найти строку

Код Выделить


doForm.hash_passwrd.value = hex_sha1( hex_sha1(doForm.user.value.toLowerCase()+doForm.passwrd.value   )+cur_session_id);

заменить её на

Код Выделить


doForm.hash_passwrd.value = hex_sha1( hex_sha1(doForm.user.value+doForm.passwrd.value   )+cur_session_id);

Это может быть при переходе на php5 и mysql5. Форум SMF 1.1 RC2 .

PREMIER · 21 июля 2006, 16:47:35

Спасибо, будем пробовать, жаль конечно, что авторы движка, пока не прореагировали.

OstLand · 21 июля 2006, 19:44:12

Цитата: PREMIER от 25 апреля 2006, 20:07:23
Ах-Да: просто мы делаем сайт www.patriotizm.su, он конечно совсем не будет весь и полностью посвящён вопросам упоения патриотизмом, тем более оголтелым патриотизмом, вплоть до шовинизма, но всё же, как Вы наверно понимаете, нам важна возможность нормальной работы форума с "русскими" именами, а то люди не поймут.

Слушайте, может я не уловил каких-то нюансов... Кто вам мешает логин делать английский, а имя пользователя в профиле выставить русское, патриотичное? Или вы в принципе против латиницы как таковой?

Я на форуме у себя логинюсь по-английски, имя на форуме - кириллицей. Проблем вроде нет никаких...

broderix · 21 июля 2006, 21:11:08

Цитата: OstLand от 21 июля 2006, 19:44:12
Слушайте, может я не уловил каких-то нюансов... Кто вам мешает логин делать английский, а имя пользователя в профиле выставить русское, патриотичное? Или вы в принципе против латиницы как таковой?
Я на форуме у себя логинюсь по-английски, имя на форуме - кириллицей. Проблем вроде нет никаких...

Понимаешь, боюсь что я не в состоянии объяснить это 2685 Пользователям, т.к. они не различают понятий сайт и форум, и заходят на форум через Жезл (не спрашивайте , что это такое, сам не знаю).

Только что выяснил, что после манипуляции описаной мною выше, пользователи у которых логин содержит букву в верхнем регистре не могут войти, не зависимо логин на латинице или кириллице.
Все оказалось, сложнее, исправить смогу только после выходных.

PREMIER · 21 июля 2006, 23:55:58

Уважаемый OstLand, когда мы планировали использовать SMF, то тоже пришли к такому мнению, что возможно придётся поступать как Вы сейчас предложили, имя для входа латинское, отображение русское, но во-первых: как правильно сказал broderix, трудно это будет объяснят большому количеству пользователей, во-вторых: как-то не торопятся авторы эту ошибку исправлять, ради какой такой высшей цели нужно терпеть какие-то неудобства, если есть родные российские движки, конечно тоже с глюками как и все, но они хоть сделаны нашими людьми, тут можно и потерпеть, да и глюки как правило не касаются родного русского языка.

Против латиницы не имею не чего против, просто я помню, что наша родная письменность на основе русской кириллицы, которая к нашему языку подходит лучше, чем тоже очень хорошая латиница и когда латиница вытесняет кириллицу, это плохо, и плохо не потому, что мне так кажется, а потому, что язык у нас просто другой, другой языковой группы нежели английский или итальянский, и поэтому, как я уже говорил русскому языку подходит кириллица и нам нужно, хотя бы немного и иногда, наш язык и нашу письменность защищать, в том числе и требовать качественной поддержки его различными движками, в том числе и SMF, а если этого не происходит, то нам это как минимум должно очень не нравится. Латиница хороша была для итальянского (римского) племени латинов, хороша для английского, но очень не подходит нам, вот и всё.

OstLand · 22 июля 2006, 09:17:59

Да конечно, хозяин - барин. Вопрос не в этом. Просто я понимаю, что бесплатность движка подразумевает возможные неудобства и косяки

Вопрос в том, что SMF нестабильно работает при разных настройках php и т.п. Т.к. на моем форуме нет проблем, подобно Вашим. Зато у меня моды не хотят ставиться средствами форума, хоть убейся плюс почта не отправляется через sendmail моего хостера (только smtp)

Надеюсь только на нормальный релиз!

Т.к. я вообще предпочитаю идти по пути наименьшего сопротивления (как электричество

) в Вашем случае я бы включил Соглашение пользователя при регистрации и обязательно там указал в самом начале, что логин должен набираться латиницей. При регистрации пользователь обязательно прочтет данное сообщение, т.к. там нужно кликнуть галочкой "Я согласен". А параллельно, естественно, разбираться с проблемой. В противном случае будете терять пользователей.

PREMIER · 22 июля 2006, 13:14:23

Прекрасная идея, предварительно предупреждать пользователей о необходимости использовать логин на латинице (без иронии), есть также прекрасная идея, вообще на уровне кода запретить использование латиницы, чтобы уж точно не кто не использовал, но не всем это подойдёт. Нам не подошло.

1. Мы развиваем патриотизм как образ жизни.
2. Защищаем российскую культуру, русский язык.
3. Не используете имена пользователей на русском языке.

OstLand · 23 июля 2006, 17:46:57

Тогда может не мучиться? PHPBB2 - там наверное нет подобных косяков...

PREMIER · 24 июля 2006, 04:36:09

Спасибо, что заговорили о PHPBB, я тут вспомнил, что когда первый раз начинал делать сайт www.patriotizm.su для конференции (форума), я использовал именно PHPBB, но потом когда почти доделал, понял, что получилось всё-таки не то, что хотел. Вспомнив это, я даже написал статью об истории создания сайта, если интересно можете почитать http://www.patriotizm.su/content/view/20/9/

YSV · 24 июля 2006, 11:44:15

Тупой вариант решения проблемы русского логина недопускать его:
http://www.simplemachines.ru/index.php?topic=473.msg3185#msg3185

PREMIER · 24 июля 2006, 14:21:11

Это типа самокритика? А что не так в этом варианте?

YSV · 25 июля 2006, 13:05:55

Цитата: PREMIER от 24 июля 2006, 14:21:11
Это типа самокритика? А что не так в этом варианте?

Это работает!
Но это некрасиво

Например пользователь вводит Елена - получает Elena...

А так все прекрасно

PREMIER · 12 августа 2006, 01:32:17

Я вернулся к движку SMF и не с пустыми руками

. Мучениями одного умного человека, пожелавшего остаться неизвестным, было найденно вот такое решение изложенной в этой теме проблемы.

В шаблоне default, в файле script.js ищется функция hashLoginPassword в ней после { ставится return;

Это симуляция того же самого эффекта который проявляется при второй попытке, это означает что она не будет удалять значение поля passwrd.

valaridz · 12 августа 2006, 11:04:56

Цитата: PREMIER от 12 августа 2006, 01:32:17
Я вернулся к движку SMF и не с пустыми руками . Мучениями одного умного человека, пожелавшего остаться неизвестным, было найденно вот такое решение изложенной в этой теме проблемы.

В шаблоне default, в файле script.js ищется функция hashLoginPassword в ней после { ставится return;

Это симуляция того же самого эффекта который проявляется при второй попытке, это означает что она не будет удалять значение поля passwrd.

PREMIER, спасибо, помогло.
Однако насколько я понимаю, этим самым мы просто не даем этой функции выполняться.
А насколько это скажется на безопасности и вообще, последствия какие?

PREMIER · 12 августа 2006, 20:00:15

Как мне объяснил знающий человек - они перемудрили с проверочной кодировкой в sha1, проблема вроде в прочтении запутанного алгоритма Sources/LogInOut.php функция Login2(), дело в том что sha1 от javascript'а и от php работают по разному именно с символами > 127, в общем с кириллицей, китайским письмом и так далее, а теперь просто ja обработка формы при сабмите отключена (она собственно и смысла то не имела).

Но естественно, лучше бы разработчики чего-нибудь сделали, но чего-то все молчат, а этот способ из всех ранее предложенных пока вроде самый рабочий.

PREMIER · 15 августа 2006, 20:01:13

Вот более подробное описание автора, предложившиго уже упомянутую методику борьбы.

Не будем описывать долго назначение js-фукции hashLoginPassword() которая является обрабочиком submit для формы,скажу лишь что это попытка симулировать нечто напоминающее Digest аутентификацию только на самопальном алгоритме sha1 описанном в sha1.js.

Но, ближе к сути проблемы...
Если в броузере банально отключить javascript, то описанный эффект исчезнет! А это потому что разработчики заботливо предусмотрели обработку на сервере случая когда логин и пароль передается явно (также как и на всех сайтах где аутентификация производится через форму). Кстати при "повторном вводе" тот обработчик тоже не вызывается - он просто не указан как onSubmit во второй форме.

Суть починки - отключить этот самопальный алгоритм sha1. Можно правкой шаблона на предмет выкидывания onsubmit="hashLoginPassword(this, '...'); а можно еще проще - не дать обработаться этой функции так как я и предложил - return сразу при ее вызове.

Насколько это угрожает безопасности?
После этой правки наша аутентификация начала работать также как и на других сайтах - т.е. просто передает по сети логин и пароль, которые введенеы в соответствующие поля. Это опасно только в случае перехвата (на проксе/шлюзе или снифером в локальной сети)...

Но хочу предупредить, что в этих условиях не менее опасно передавать и SSID (а он передается)!, поскольку в пределах жизни сессии знание SSID позволяет то же самое, что и знание чужого пароля, особенно если хыцкер сидит с вами за одним NAT'ом...

Так что большей угрозы чем есть, от моего метода не прибавилось!

Avdenago · 16 августа 2006, 21:14:21

Действительно проблема имела место.
Отключил функцию - все работает.

PREMIER · 17 августа 2006, 18:41:24

Проблема которая ещё осталась - это когда долго не пользуешся административным разделом, а потом опять начинаешь, для подтверждения статуса администратора выскакивает окошечко где нужно просто ввести пароль, если у вас "русский" логин, то пароль там можно вводить сколько угодно, всё равно не войдешь, нужно полностью выйти и опять войти. Нужно будет теперь подумать как справится и с этим.