ограничение доступа к SMF

balzaman · 02 февраля 2009, 19:38:57

вечер добрый!
---
SMF установлен на XAMPP (локально)
форум - планирую вывести в интернет (через личный постоянный IP)
первым делом, я отменил регистрацию пользователей
1. в общем, задача такая - организовать доступ к форуму, строго для определенных пользователей и обезопасить форумный контент, какими способами - возможно воспользоваться?
2. вот например - кто либо (гость) вводит адрес http://192.168.0.1/forum/index.php и оказывается на странице авторизации (регистрация запрещена)
но, по адресу http://192.168.0.1/forum/ssi_examples.php выдается довольно много информации: с названиями разделов, текстом сообщений и пр. (для того же гостя)! какая уж тут безопасность контента может быть?
что это за файл - ssi_examples.php (в корне SMF)?
и, как решить данную проблему?
3. еще не знаю как, но планирую настроить XAMPP - на аутентификацию клиентов по https://... решит ли это часть поставленной задачи?
---
спасибо!

Drakonsa · 02 февраля 2009, 19:55:22

Цитата: balzaman от 02 февраля 2009, 19:38:57
1. в общем, задача такая - организовать доступ к форуму, строго для определенных пользователей и обезопасить форумный контент, какими способами - возможно воспользоваться?
2. вот например - кто либо (гость) вводит адрес http://192.168.0.1/forum/index.php и оказывается на странице авторизации (регистрация запрещена)
но, по адресу http://192.168.0.1/forum/ssi_examples.php выдается довольно много информации: с названиями разделов, текстом сообщений и пр. (для того же гостя)! какая уж тут безопасность контента может быть?
что это за файл - ssi_examples.php (в корне SMF)?
и, как решить данную проблему?
3. еще не знаю как, но планирую настроить XAMPP - на аутентификацию клиентов по https://... решит ли это часть поставленной задачи?

1. Что значит обезопасить контент? И по какому критерию отбираються пользователи?
2. ssi_examples.php можете удалить, переименовать. Базовый FAQ по SSI.

balzaman · 02 февраля 2009, 20:13:17

Цитировать1. Что значит обезопасить контент?

значит, что к контенту форума - никто не будет иметь доступ, кроме определенных администратором пользователей.

ЦитироватьИ по какому критерию отбираються пользователи?

администратор зарегистрировал пользователей: 1, 2 и 3 и кроме них, на форум не должен больше никто попасть!

Drakonsa · 02 февраля 2009, 23:02:30

Цитата: balzaman от 02 февраля 2009, 20:13:17
значит, что к контенту форума - никто не будет иметь доступ, кроме определенных администратором пользователей.
администратор зарегистрировал пользователей: 1, 2 и 3 и кроме них, на форум не должен больше никто попасть!

Ну закрываешь форум от гостей и ставишь подтверждение регистрации только Администратором.

Mavn · 03 февраля 2009, 00:11:44

Цитата: balzaman от 02 февраля 2009, 19:38:57
2. вот например - кто либо (гость) вводит адрес http://192.168.0.1/forum/index.php и оказывается на странице авторизации (регистрация запрещена)
но, по адресу http://192.168.0.1/forum/ssi_examples.php выдается довольно много информации: с названиями разделов, текстом сообщений и пр. (для того же гостя)! какая уж тут безопасность контента может быть?
что это за файл - ssi_examples.php (в корне SMF)?

какие права поставили на форуме для пользователей то и отображает данный файл. Отображение только согласно прав доступа пользователей.
От того что закроешь просто регистрацию это еще не значит что гости не смогу читать форум. смотри выше Drakonsa сказал что нужно делать

balzaman · 03 февраля 2009, 01:23:48

да, я сразу запретил гостям просмотр форума (Характеристики и настройки) и регистрацию запретил, в правах доступа - лишил гостей всего что можно (значение = 0) - это всё понятно!
но, после всего этого гость по ссылке http://192.168.0.1/forum/ssi_examples.php - смог прочесть содержание сообщений и прочую информацию
после того, как я удалил файлы: ssi_examples.php и ssi_examples.shtml (кстати он выдавал почти то же самое) - проблема исчезла
этого достаточно, или возможно сделать что-то ещё?

BIOHAZARD · 03 февраля 2009, 15:05:43

можно ещё винчестер отформатировать - тогда точно никто ничего не узнает
зачем форум вообще делать?

и я не понимаю, как левые люди вообще о существовании твоего форума узнают, а потом ещё и на ssi_examples.php прокрадутся?
может проще поместить форум в папку "kjhflhvjtlygut_gkdjhg4378568" на сервере и его и так никто не найдёт?

balzaman · 03 февраля 2009, 16:17:00

Цитироватьможно ещё винчестер отформатировать - тогда точно никто ничего не узнает

ты весёлый парень видимо - раз такие возможности предлагаешь!

Цитироватьзачем форум вообще делать?

да за тем, чтобы общаться с ограниченным кругом людей - на закрытые, от общего внимания темы...

Цитироватьи я не понимаю, как левые люди вообще о существовании твоего форума узнают

разные люди бывают, с разными целями и возможностями, так что всё возможно

Цитироватьа потом ещё и на ssi_examples.php прокрадутся?

ну вот не знал я, что гость может ввести в окне браузера http://192.168.0.1/forum/ssi_examples.php и получить доступ к чтению соощений, пока не попробовал, может кому-нить это знание пригодится!

Цитироватьможет проще поместить форум в папку "kjhflhvjtlygut_gkdjhg4378568" на сервере и его и так никто не найдёт?

а вот это хорошая идея, нужно использовать

BIOHAZARD · 03 февраля 2009, 16:57:24

не забудь в роботс.тхт запретить индексацию всего сайта, а то каким нибудь чудом поисковик зайдёт к тебе и потом в выдачу поиска всё выложит :о)

Mavn · 03 февраля 2009, 17:17:05

Цитата: balzaman от 03 февраля 2009, 16:17:00
ну вот не знал я, что гость может ввести в окне браузера http://192.168.0.1/forum/ssi_examples.php и получить доступ к чтению соощений, пока не попробовал, может кому-нить это знание пригодится!

никому не пригодится. Как сказано выше ssi работает согласно прав заданых в настройках форума ничего лишнего он не будет выводить! Ну а если вы залогинились и запускаете при этом данный файл то и видите все что вам положено видеть потому как вы админом вошли на форум.

balzaman · 06 февраля 2009, 16:16:54

ЦитироватьНу а если вы залогинились и запускаете при этом данный файл то и видите все что вам положено видеть потому как вы админом вошли на форум.

да причём тут вход админа!?
повторяю - зашел в статусе гостя с другого ПК (домашней сети) с которого я не регистрировался и не логинился на форуме! - по адресу http://192.168.0.1/forum/ssi_examples.php и гостю открылась информация включающая текст сообщений (подробнее выше), а гостям (в настройках) - запрещено всё что можно, начиная с просмотра форума...
так что - всё я правильно указал!

Mavn · 06 февраля 2009, 17:22:10

версия форума какая?

Green · 06 февраля 2009, 21:06:42

А в админке, в разделе "Разделы форума" правильные права стоят?

balzaman · 06 февраля 2009, 22:57:08

версия форума 1.1.7 (была на момент "того"), сегодня обновил до 1.1.8
---
что значит правильные права?
права - всегда правильные (либо они есть, либо их нет).
Группы пользователей, которым разрешено редактировать Разделы и Категории:
Обычные пользователи - не разрешено
Глобальный модератор - не разрешено
Добавлять количество сообщений в подразделах к общей статистике главного раздела: нет
Разрешить восстановление удаленных тем: нет

Green · 06 февраля 2009, 23:23:23

Я про Группы пользователей, которые имеют доступ к разделу.

balzaman · 07 февраля 2009, 01:52:52

Цитата: Green от 06 февраля 2009, 23:23:23
Я про Группы пользователей, которые имеют доступ к разделу.

здесь, всё корректно настроено - относительно данной темы.

AntonioK · 21 апреля 2009, 22:53:17

А возможно ли закрыть определенную тему от пользователей и позволить доступ в нее только определенному количеству избранных пользователей?

Drakonsa · 21 апреля 2009, 23:00:24

Цитата: AntonioK от 21 апреля 2009, 22:53:17
А возможно ли закрыть определенную тему от пользователей и позволить доступ в нее только определенному количеству избранных пользователей?

2.0 http://custom.simplemachines.org/mods/index.php?mod=1422
1.1.x http://custom.simplemachines.org/mods/index.php?mod=795