Cообщество пользователей SMF

скорее всего решение аналогично вышесказанному.
в файле script.js
после строк для функции hashLoginPassword()
есть функция отвечающая за хэширование Админского пароля.
вроде. Не проверял сам, кто попробует - отпишитесь

PREMIER, проблему с входом администратора можно решить двумя путями - первый в админке "Характеристики и Настройки -> Отключить проверку пароля для Администраторов" и второй (более правильный) способ, как верно сказал Avdenago - запретить исполнение функции hashAdminPassword в script.js
Объяснение - то же самое...

Кстати есть еще более радикальный способ! Просто переименовать sha1.js во что-нибудь... например в sha1-disable.js - это вылечит все сразу!...

Mavn Не в курсе, разработчики решат эту проблему в Final версии или они от неё открестились?

Цитата: avm от 18 августа 2006, 07:52:06
Кстати есть еще более радикальный способ! Просто переименовать sha1.js во что-нибудь... например в sha1-disable.js - это вылечит все сразу!...

Надо попробовать ) Неужели так просто?

решение (и то мое предложение которое озвучил PREMIER, и с переименованием) действительно выглядит просто, но для того чтобы к нему прийти мне пришлось довольно глубоко изучать код smf....

попробовал. переименовал sha1.js в sha1-disable.js (в папке темы default).
но что то не помогло. может потому что у меня тема babylon?

для проверки зарегал юзера "ТесТер123" и при переходе по активационной ссылке вылетела ошибка (диалоговое окошко, которое обычно появляется когда ошибки есть в синтаксисе JS)

потом стало появляться сообщение "неверный пароль"

после 3 попыток появилась страничкой напоминания пароля на емейл.

потом войти получилось.

потом вышел и при повторном входе опять неверный пароль пишет.

Ну что вы фигней занимаетесь?
Нужно просто делать транслитерацию русских логинов при регистрации и все.
Решение опубликовано на здесь на сайте.

YSV - предлагая как минимум более трудоемкое решение взамен наипростейшего, вы и занимаетесь фигней. Причем неоправданной, как с точки зрения технологичности, так и с точки зрения здравого смысла.

Андрей К, используйте способ запрета функций путем вставки "return" (см.посты чуть выше) в script.js
Специально из-за вашего сообщения поставил email активацию, дефолтом babylon, и запустил XP в vmware... и попробовал зарегистрироваться русским логином (и даже русским паролем!) при переименованном sha1.js  у меня SMF 1.1-RC3
Никаких ошибок! - все как по маслу...

Переименовав файл и таким образом уменьшая защищенность форума Вы занимаетесь БОЛЬШЕЙ фигней чем я.
По мне лучше быть защищенным от взлома, чем лениться...

Безопасность не сильно от этого теряет\выигрывает.
просто нормальный хакер если захочет - взломает форум независимо включено\выключено шифрование пароля.
Для этого хватит дыр, хотя бы в модах. 
А вот транслитить имена тоже палка о двух концах. Просто имена могут потом совпадать. ну например: Санич и Sanich.

Безопасность не только не_сильно теряет, она в данном случае ничего не теряет ВООБЩЕ!

Чумовая придумка с хешированием была призвана избавить от main-in-the-middle, но тогда НЕ нужно было передавать идентификатор сессии!!! Разработчики SMF сделали просто мартышкин труд... То что я предложил - использут 99.9% сайтов Сети, авторизующих своих пользователей через формы. И такой же уровень опасности/безопасности имеет HTTP аутентификация методом Basic...
А тут разработчики решили эмулировать метод Digest даже не стандартным для него MD5, а при помощи кривой реализации алгоритма SHA (хотелось своего собственного нестандартного решения, понимаю!)... Но тогда нужно было и от SID избавится, что они не сделали, а соответственно изначальные дергалки по этому поводу смысла не имеют вообще!

Прочитайте мое описание моего же решения, в сообщении PREMIER'а - надеюсь поймете!? Рассуждая об опасности/безопасности нужно хотябы знать что это такое и откуда "уши торчат"...

P.S. Удаление/переименование sha1.js дает абсолютно тот же результат, что и простое отключение функций хеширования в script.js! (ну кроме записей в логах сервера о том что sha1.js "не найден")

а что мешает убрать строку

<script language="JavaScript" type="text/javascript" src="', $settings['default_theme_url'], '/sha1.js"></script>

чтобы не нужно было переименовывать и избежать логов о том что файл не найден??

Mavn, ничего не мешает! суть ведь та же... Просто я всегда предлагаю решения достижимые минимальными телодвижениями. А например чтобы в стандартной шкуре реализовать это предлагаемым вами способом, нужно править два файла, в одном из которых - аж в трех местах...
Я лишь предложил самый легкий и простой путь, а вариантов - немало...

согласитесь, что при моей реализации будет это сделать хоть и дольше зато гораздо лучше!

Mavn, согласен, это лучше чем переименовать файл... Но запутаннее чем поставить два return'а

Цитата: Avdenago от 25 августа 2006, 23:31:42
Безопасность не сильно от этого теряет\выигрывает.
просто нормальный хакер если захочет - взломает форум независимо включено\выключено шифрование пароля.

Но ломать будет труднее.
Хоть с этим то согласны?

Цитировать
Для этого хватит дыр, хотя бы в модах. 

Лишняя дыра, которую в добавок делаешь своими руками - покрайне мере некрасиво...

ЦитироватьА вот транслитить имена тоже палка о двух концах. Просто имена могут потом совпадать. ну например: Санич и Sanich.

Будет просто соообщение, что ник занят.
Придумайте другой, вот и все...

Цитата: YSV от 27 августа 2006, 14:41:16Но ломать будет труднее. Хоть с этим то согласны?

НЕ СОГЛАСЕН!
Если говорить о "взломе" (а тут речь только о захвате чужого аккаунта), то:
1) подбор имени и пароля при штатном хешировании, при вашем транслите, или вообще без хеширования - делается абсолютно идентично - меняется лишь способ "упаковки" пароля по алгоритму который известен хулигану (из js-файла). В этом случае ни у одного из методов нет преимуществ друг перед другом.
2) при перехвате за счет man-in-the-middle тоже все одинаково - злоумышленник просто перехватит идентификатор сессии, и захватит аккаунт. Он не будет ждать когда юзер введет свой логин и пароль (потому что это может и не произойти - при включенном режиме "навсегда")...

Все остальные методы взлома smf-форумов (и любых других инет-ресурсов) вообще не имеют отношения к обсуждаемым решениям, поэтому не буду их расписывать...

YSV, вы прежде чем вступать в дискуссии, в следующий раз постарайтесь иметь что-то большее, чем просто ваше мнение... аргументы хотя бы какие-нибудь... А то это разжевывание азов мне уже начинает надоедать. Я уже все объяснил еще в том сообщении которое запостил PREMIER.

Цитата: avm от 27 августа 2006, 17:59:18
YSV, вы прежде чем вступать в дискуссии, в следующий раз постарайтесь иметь что-то большее, чем просто ваше мнение... аргументы хотя бы какие-нибудь...

Аргументы у меня написаны...
И я от них не отказываюсь...

И в принципе согласен и с Вашими аргументами...

Но есть одно но - не каждый хакек знает JS.
Есть сандартные методы взлома - большинство хакеров пользуются стандартными, добовление JS отсекаетдовольно значительную часть "слабых" "стандартных" хакеров...

А что крутые хакеры могут вскрыть все, что угодно я согласен и их не остановит JS.
Так что моя позиция остается неизменной...

Своими руками уменьшать безопасность - ПЛОХО!

Не знаю...  предлагаю закончит офф-топ.

а так. как я уже говорил. Если очень надо - взломают что угодно.

Avdenago, да тут не оффтоп - тут принципиальный спор! Спор правда действительно не совсем по subj, но в общем-то имеет к нему отношение...

YSV, аргументом было бы четкое объяснение механизмов подразумеваемого вами типа взлома (я кстати так и не понял что вы вообще подразумеваете под термином "ломать"). Хотелось бы услышать хоть какое-то осмысленное обоснование того чем именно штатная реализация аутентификации через хеширование пароля в js при остающемся открытом ssid  надежнее plain password'а.... В ваших словах не было ни одного аргумента! То что вы что-то считаете - это не аргумент, а мнение. Не нужно путать.

Ваша классификация хакеров на "слабых", "стандартных" и "крутых" - меня больше огорчила, чем насмешила...
И какие-такие "стандартные" методы взлома вы имеете ввиду применительно к обсуждаемой теме?
А заявление "не каждый хакер знает JS" имхо вообще должно быть золотыми буквами написано над центральными воротами Microsoft...
Ваши слова наталкивают на мысль, что у вас очень слабое понимание обсуждаемых процессов. Вы спорите только ради спора. А жаль...

Цитата: YSV от 28 августа 2006, 09:20:47Своими руками уменьшать безопасность - ПЛОХО!

да ведь не уменьшается она ни на миллиметр... вообще!
ровно как и js с хешированием при сохраненном ssid ее не увеличивал.

Цитата: avm от 28 августа 2006, 16:37:47
Ваша классификация хакеров на "слабых", "стандартных" и "крутых" - меня больше огорчила, чем насмешила...

Эта классификация имеет место быть, где то встречал статью как вскрывать форумы и чаты, там автор прямо писал если стоит JS то тот метод который он описал не действует!

Цитата: avm от 28 августа 2006, 16:37:47
И какие-такие "стандартные" методы взлома вы имеете ввиду применительно к обсуждаемой теме?

Те которые распространяют "добрые" хакеры забесплатно...

ЦитироватьА заявление "не каждый хакер знает JS" имхо вообще должно быть золотыми буквами написано над центральными воротами Microsoft...

Знаешь ли ты JS?
Сделай опрос на этом форуме и ты увидишь, что таких не так много.
Даже я почитывая JS от случая к случаю, но в течении года не могу сказать, что знаю его.
Хотя кое что уже на JS делал.

ЦитироватьВы спорите только ради спора. А жаль...

А разве спорят не для этого?
Довольно часто споры ПРОСТО освещают позицию спорящих.
Чаще всего спор решается не для спорщиков, а для тех кто выбирет СВОЕ решение на основании аргументов спорящих.

Цитировать

Цитата: YSV от 28 августа 2006, 09:20:47Своими руками уменьшать безопасность - ПЛОХО!

да ведь не уменьшается она ни на миллиметр... вообще!
ровно как и js с хешированием при сохраненном ssid ее не увеличивал.

Если Вы такой крутой Вам на основной сайт и по-английски доказывать глупость отцов СМФ и предлагать пути по улучшению безопасности СМФ.

Очень надеюсь увидеть разборки на основном форуме.
Жду от Вас ссылки форума СМФ на Ваше обсуждение бесполезности JS!

YSV, у меня нет необходимости рвать на себе волосы в попытках доказать вам свою компетентность в этих вопросах. На сколько я "крутой" можно узнать/спросить на других форумах, где на текущий момент действительно есть достаточное количество специалистов (здесь пока слишком молодой ресурс - опытный народ еще не подтянулся), например http://phpbbguru.net/community/

Именно тут человек выставил мое решение и именно тут вы пытаетесь, ничего не понимая в существе вопроса, его обгадить не приводя не единого объяснения... Вы перечитайте свои посты и мои - единственное что мне еще осталось - привести http заголовки "диалога" между сервером и броузером... С вашей стороны нет даже углубления в теорию процесса, только "где-то встречал статью"...  Что за статья? Кто автор?

Цитата: YSV от 30 августа 2006, 16:41:55Эта классификация имеет место быть, где то встречал статью как вскрывать форумы и чаты...

Эта классификация - чушь!, либо хакер что-то умеет, либо он не хакер, а киддис, который пытается применять сплойты с securitylab ничего не понимая в их существе... Свои-то знания у вас хоть какие-то есть по даному вопросу? чтобы продолжать спорить со мной...

Цитата: YSV от 30 августа 2006, 16:41:55

Цитата: avm от 28 августа 2006, 16:37:47И какие-такие "стандартные" методы взлома вы имеете ввиду применительно к обсуждаемой теме?

Те которые распространяют "добрые" хакеры забесплатно...

я плачу от умиления... "добрые" хакеры... бесплатно...
Во первых сплойты открыто публикуются на securitylabs, и латаются фактически сразу-же если разработчики не лохи...
Во вторых я попросил привести вас конкретный пример хотябы одного такого по вашему мнению "стандартного" методу взлома касающегося обсуждаемого нами вопроса об аутентификации. Вы хоть на что-то конкретно ответить можете?
Ладно, отвечу за вас - НЕТ СТАНДАРТНЫХ МЕТОДОВ ВЗЛОМА через базовую аутентификцию. Возможны man-in-the-middle и SQL-injection... Первый - НЕ взлом, а перехват, и от него не застрахован ни один сайт! Второй - результат недостаточной обработки на сервере получамых от пользователя данных (у SMF с этим все нормально вроде).

Метод передачи plain password (моя терминология вам хоть о чем-то вообще говорит?) не создает никакой угрозы даже от хакеров (иначе сайты типа google и yandex даже не поднимались бы!) кроме как при main-in-the-middle (о чем я уже очень подробно писал). Но man-in-the-middle возможно лишь в одной подсети либо на маршрутизаторе сети, что ровно настолько же небезопасно и в случае встроенного в smf хеширования пароля. Предыдущее предложение я написал не для вас, YSV, - вы все равно его не поймете...

Я здесь пишу не для переписки с вами лично, а для людей которых ваш пустой треп может ввести в заблуждение, необосновано оттолкнув от реального, надежного, безопасного и простого решения проблемы.

Цитата: YSV от 30 августа 2006, 16:41:55

ЦитироватьА заявление "не каждый хакер знает JS" имхо вообще должно быть золотыми буквами написано над центральными воротами Microsoft...

Знаешь ли ты JS?
Даже я почитывая JS от случая к случаю, но в течении года не могу сказать, что знаю его.
Хотя кое что уже на JS делал.

в этой фразе ударение ставится наверное на "даже я" (ржунимагу)
"почитывая js в течение года..." уссаца... да вы пока что нуб!
Углубленное знание html,js,php,*sql,работы сетевых протоколов и служб,серверного nix софта - это мой профессиональный заработок.
И кстати, я вам уже говорил - обращайтесь ко мне на "вы".

Теперь о "красном":
На оф.форуме уже поднималась тема некорректно работающего sha (хоть изначальная проблема там рассматривалась чуть другая) - http://www.simplemachines.org/community/index.php?topic=71310.15 (привожу ссылку на вторую страницу темы, поскольку тут еще можно захватить туповатые реплики Compuart с лычкой "Lead Developer")
И что? кто-то предложил 23 августа отключить нафик onsubmit в script.js и до сих пор от этих "developer'ов" никакой реакции... Вот если в той теме ответит кто-нибудь из "developer'ов" - вы увидите такие разборки...
Вообще, в результате просмотра тем на оф.форуме у меня сложилось устойчивое мнение, что лычки "developer" там носят не те кто реально писал код SMF - уж слишком хорош код для такого уровня ответов на оф.форуме...

Цитата: avm от 31 августа 2006, 04:14:59
Углубленное знание html,js,php,*sql,работы сетевых протоколов и служб,серверного nix софта - это мой профессиональный заработок.
И кстати, я вам уже говорил - обращайтесь ко мне на "вы".

Извиняюсь.
Я  в том что Вы перечислили пока чайник деньги я зарабатываю пока только как  1Совец, ну и маленько как системщик...
Но уже есть маленький опыт в Вашем наборе, а скоро и деньги будут.

ЦитироватьИ что? кто-то предложил 23 августа отключить нафик onsubmit в script.js и до сих пор от этих "developer'ов" никакой реакции... Вот если в той теме ответит кто-нибудь из "developer'ов" - вы увидите такие разборки...

А зачем предлагать отключить, надо предложить изменить для УСИЛЕНИЯ безопасности.
И это будет достойным вкладом в безопасность СМФ, российским так сказать вкладом!

Цитата: YSV от 31 августа 2006, 09:04:21А зачем предлагать отключить, надо предложить изменить для УСИЛЕНИЯ безопасности.

мде... сарказм не по адресу, ибо мое предложение не увеличивает безопасность а лишь не уменьшает ее (вплоть до smf rc3 - они не изменили свою процедуру аутентификации с передачей SID) позволяя решить проблему.

Я могу действительно предложить кое-что по улучшению безопасности SMF, но без чьей-то конкретной потребности делать этого не буду. Потому что, я сделаю это либо для кого-нибудь из своих заказчиков за $25/час, либо вообще бесплатно но только когда в чем-то конкретном будет массовая потребность или попросит кто-то кого воспринимаю нормально, как получилось с PREMIER (кстати я его не знал до этой проблемы - он меня сюда с phpbbguru и притащил).

P.S. YSV, и вот представьте свою реакцию если бы я взялся вас в чем-то убеждать по поводу 1С... (хотя я имел дело с разными конфигурациями и даже делал внешние обработки, как собственно и вы с JS)

Читал Вашу перебранку с самого начала и все думал разделить тему или нет. Пришел к выводу оставить все как есть чтобы люди увидели мотивированые ответы относительно безопасности данного решения.
Честно говоря поскольку я не программист то ничего сказать не могу по данному вопросу.

Mavn вам, как Русской поддержке SMF, следует обратить пристальное внимание на следующие слова avm 

ЦитироватьЯ могу действительно предложить кое-что по улучшению безопасности SMF, но без чьей-то конкретной потребности делать этого не буду. Потому что, я сделаю это либо для кого-нибудь из своих заказчиков за $25/час, либо вообще бесплатно но только когда в чем-то конкретном будет массовая потребность или попросит кто-то кого воспринимаю нормально,

avm, массовая потребность имеется. 

осталось только найти "кто-то кого воспринимаю нормально"

AlexN и Avdenago, в той фразе ключевое - "конкретная потребность"... можно точнее сказать: достаточно определенно выраженная конкретная задача. А уж потом вся остальная лирика...

AlexN, имеется массовая потребность в чем конкретно?, может оно и есть уже где-то...

Если же вы ожидаете от меня моих личных произвольных предложений - то ессно мне лень.

Хотя скажу, что я бы:
- изменил алгоритм генерации стандартной картинки визуального подтверждения,
- изменил при помощи буферизации вывода в index.php и mod_rewrite все внутрифорумские ссылки,
- запретил через robots.txt индексировать "не топики" (чтоб спамерам базы форумов smf тяжелее было из поисковиков вытягивать),
- для гостей везде в html-шаблонах, минимизировал бы возможность автоматического опознавания страниц как smf'ных
- выкинул нафик штатный <meta keywords="PHP, MySQL, bulletin, board, free, open, source, smf, simple, machines, forum">
пока хватит...

 Поддерживаю pel с проблемой паролей. На localhost создале несколько кураторов, права пораздавал. Когда залил на хостинг, столкнулся с той же ситуацией, когда неправильный пароль (у некоторых со 2-го ввода входит, у некоторых вообще не входит).
Как решить эту проблему? Не возникнет ли такой проблемы у пользователей? Из-за глюка такого может отвернуть пользователей от ресурса.

Возникла проблема после переноса сайта на другой сервер. Пароли пользователей с русскими именами перестали восприниматься вообще. Это при том, что файл script.js был изменён как было описано в этой теме:
function hashLoginPassword(doForm, cur_session_id)
{
// Compatibility.
return;
Мало того, перестали прикрепляться к сообщениям картинки с русскими именами файлов.
Если кто знает, как решить эту проблему, подскажите, пожалуйста.

P.S. На прошлом сервере стояла версия MySQL 4.0.18, а на этом - 5.0.22.

у тебя на хосте случаем нет принудительной перекодировки данных в какую нибудь кодировку??

У меня та же проблема.
Пользователей русскоязычных с первого раза не воспринимает.
Решилось как-то или нет?
А то уж сколько страниц понаписали.

Цитата: Mavn от 25 апреля 2006, 16:25:42
Olkon
Если нет в папке скрипта это еще не значит что он не отрабатывается

Код Выделить Развернуть


<script language="JavaScript" type="text/javascript" src="http://www.k111.ru/forum/Themes/default/script.js?rc2"></script>


PREMIER
Обсалютно прав потому как большинство скриптов картинок и всего прочего в случае если не прописано явно то берется из папки default

если оно из дефолта берется, то скажите почему у меня мод кто голосовал работает только на дефолтной теме?

а какое отношение ваша проблема имеет к данной теме? Хотите ответ задавайте в соответствующую тему или же создавайте новую!

Цитата: Mavn от 17 июня 2007, 21:15:19
у тебя на хосте случаем нет принудительной перекодировки данных в какую нибудь кодировку??

А где это можно проверить?

М..дас... В версии 1.1.4 опять проблема та же возникла...
А кардинального решения так и не нашли...
Или я ошибаюсь?

ЗЫ. Пришлось воспользоваться советами из этого топика... Всё работает!
Приведу, если позволите, всю последовательность...

---

Файл sha1.js (\Themes\default\sha1.js) переименовываем в sha1-disable.js

В файле script.js (находится там же)

находим 462-463 строку

function hashAdminPassword(doForm, username, cur_session_id)
{

и заменяем в 463 строке на:

{ return;

Кардинальное решение давно найдено - не давать регистрироваться с русскими никами...
Программноперекодируя в translit...

Уважаемые пользователи!

Подскажите, почему повляется следующая ошибка:
http://www.___mysite.ru/index.php?action=login2

Причем появляется как на логинах с кириллицей, так и с латинским шрифтом.

То, какие советы здесь давали относительно ошибки с русским шрифтом, изменения в код я уже вносил.

Никто не подскажет как избавиться от этой ошибки?

И что именно вы делали?

Цитата: Mavn от 27 декабря 2007, 18:07:24
И что именно вы делали?

Вот это, то, что советовали здесь выше:

ЦитироватьНовая версия исправления от меня -
1. Файлы *.php не трогать совсем, оставить как в поставке.
2. в файле "script.js" найти строку
"doForm.hash_passwrd.value = hex_sha1( hex_sha1(doForm.user.value.toLowerCase()+doForm.passwrd.value   )+cur_session_id);" - она примерно №446.
3. ПЕРЕД этой строкой написать строчку -  doForm.user.value = doForm.user.value + "";
4. Всё!

И тишина...

Кто-нибудь поможет? Вышеуказанная ошибка просто достала? Никак не могу от нее избавиться.
Так всех только что зарегистрированных пользователей можно от форума отпугнуть, поскольку они не могут войти под своим ником.

Цитата: Солярис от 20 января 2008, 23:08:35
Кто-нибудь поможет? Вышеуказанная ошибка просто достала? Никак не могу от нее избавиться.
Так всех только что зарегистрированных пользователей можно от форума отпугнуть, поскольку они не могут войти под своим ником.

А зачем вообще с русскими логинами регистрироваться. От этого всегда одни проблемы.

Пользователи могут регистрироваться под любыми логинами.
Если ограничивать их в этом, то они уйдут на другие форумы.
В связи с чем, мне необходимо избавиться от этой ошибки, но я уже не знаю, где ещё мне копать её причину...

Цитата: Солярис от 20 января 2008, 23:20:02
В связи с чем, мне необходимо избавиться от этой ошибки, но я уже не знаю, где ещё мне копать её причину...

В чем именно выражается ошибка?

Цитата: digger от 20 января 2008, 23:40:30
В чем именно выражается ошибка?

Что пользователь якобы ввел неверный пароль
http://www.site.ru/index.php?action=login2

Люди по несколько раз вводят свой пароль и все равно не могут попасть на форум.

Цитата: Солярис от 20 января 2008, 23:50:24
Что пользователь якобы ввел неверный пароль

Код Выделить Развернуть

http://www.site.ru/index.php?action=login2

Люди по несколько раз вводят свой пароль и все равно не могут попасть на форум.

В списке пользователей их логины нормально выглядят?

Цитата: digger от 20 января 2008, 23:59:19
В списке пользователей их логины нормально выглядят?

Абсолютно нормально, что с русскими буквами, что латинскими.

Млин, я что-то не понял, только у меня что ли такая ошибка осталась и не исправляется?