|
Название: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 05 Марта 2011, 09:42:59 Всем доброго дня.
До настоящего момента в нашей сети не было сервисов, позволяющих переводить клиенту средства со своего счета "куда-то". И из-за нижеизложеной проблемы пока не можем их включить. Так вот в чем проблема: Есть некоторые клиенты (немного). У них стоит доступ "БЕЗ авторизации". В этих сегментах привязки по ипу нет. Если хитрож*пый клиент просканит свою подсеть на предмет ипов, с которых пускает в инет без авторизации, он может поставить СЕБЕ такой ип. Тоесть, для биллинга будет уже ДРУГИМ клиентом. И его пустит на страничку такого клиента НЕ СПРАШИВАЯ логин/пароль. Соответственно, он может вывести средства "куда-то". Например, на мобилу итд. Поэтому вопрос: есть ли галка в биллинге/что(где) подправить в коде, что бы авторизацию спрашивало ВСЕГДА ? Или если есть возможность, то спрашивало только для клиентов с доступом "Всегда онлайн"? Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Efendy от 05 Марта 2011, 11:02:46 На страницу статистики можно попасть:
1) по логину/паролю 2) авторизовавшись авторизатором По-другому нельзя, ты тестил описанный случай? Может они другими методами попадают? Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 05 Марта 2011, 12:00:36 Конечно, у тебя есть такая удобная вещ, как показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафф? Если да, то тут причина понятна. На страницу статы пускает если поле auth='on', а с вышеописаной фишкой это поле будет 'on' и соответственно пустит на страницу. Я уже где-то на форуме писал решение сего вопроса но напишу еще и здесь...
Файл stat.pl (тот, что в ведомстве веб-сервера) Находим: Код: 196 $where=$id? "id=$id":"ip='$ip'"; Код: 196 $where=$id? "id=$id":"ip='$ip'"; Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 05 Марта 2011, 12:28:17 По-другому нельзя, ты тестил описанный случай? Может они другими методами попадают? Да, попробовал.Конечно, у тебя есть такая удобная вещ, как показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафф? Если да, то тут причина понятна.. Да, есть конечно )) Фишка ж реально удобная )))))Ок, вариант сейчас попробую. Если на форуме и писалось, то с наскока не нашел ..( Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 05 Марта 2011, 12:55:31 Попробовал.
Не совсем работает ) Тоесть - появляется страничка авторизации с полями для ввода логина/пароля. Ввожу верные логин/пароль - опять выбрасывает на этоже окошко ((( Ввожу НЕверные логин/пароль - пишет "Неверная авторизация" ... заменил на Код: $p=&sql_select_line($dbh,"SELECT * FROM users WHERE lstate=0 AND $where LIMIT 1"); Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 05 Марта 2011, 13:31:29 Да, я тупанул, там в выборке ничего не делай.
Это есть: Код: 209 if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}Должно быть. Делай так: Код: if (!$AUTH && ($p->{auth} eq 'no' || $p->{lstate})) {&Login(); &Exit}Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 05 Марта 2011, 14:22:58 Как ни прискорбно, но ситуация аналогичная (
Тоесть - появляется страничка авторизации с полями для ввода логина/пароля. Ввожу верные логин/пароль - опять выбрасывает на этоже окошко ((( Ввожу НЕверные логин/пароль - пишет "Неверная авторизация" Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 05 Марта 2011, 22:03:50 Ты убрал из выборки lstate??
То есть вернул: Код: $p=&sql_select_line($dbh,"SELECT * FROM users WHERE $where LIMIT 1"); Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 06 Марта 2011, 03:19:35 Ну да.
Само собой. Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 06 Марта 2011, 12:59:17 Ну тогда, что я делаю не так? Если у меня все ОК? Спецом проверил.
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 06 Марта 2011, 13:04:10 Хм. Перепроверю еще раз.
п.с. у нас билль 50.19. Но там, насколько могу судить, код почти не менялся в этом куске файла. Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 06 Марта 2011, 13:05:35 Ну я на 50.32. Кинь весь stat.pl
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 06 Марта 2011, 19:08:11 Да, всё на первый взгляд, работает, как хотелось :D
п.с. В принципе, все и с первой попытки должно было заработать. Я с тяжелого рабочего дня тупанул, признаю )) п.п.с. Большое спасибо отзывчивому человеку )) Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: poxy. от 08 Марта 2011, 16:36:07 Да, я тупанул, там в выборке ничего не делай. +1 спасибо!Это есть: Код: 209 if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}Должно быть. Делай так: Код: if (!$AUTH && ($p->{auth} eq 'no' || $p->{lstate})) {&Login(); &Exit}Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Elisium от 08 Марта 2011, 21:59:41 Между прочим, по теме: БЕЗ этого исправления использование вышеописаной "фишки" (показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафик) чревато СЕРЬЁЗНЫМИ проблемами в плане безопасности пользовательских данных (первый пост темы).
Поэтому всем исправить в срочном порядке ) п.с. В той ТЕМЕ (http://forum.nodeny.com.ua/index.php?topic=892.0) этого фикса вроде нет. п.п.с. Возможно я опять открыл Америку и это у всех уже давно сделано )) Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 08 Марта 2011, 23:56:22 Я сделал сразу, просто молчал как партизан :))
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Андрій от 11 Марта 2011, 22:49:43 а як зробити щоб навпаки пускало на сторінку статистики без логіну і паролю ?
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 12 Марта 2011, 00:59:30 а як зробити щоб навпаки пускало на сторінку статистики без логіну і паролю ? Наверно не делать исправлений предложеных выще.Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Андрій от 12 Марта 2011, 09:22:03 його пустить в статистику коли він не заблокований і коли від нього за останні 5 хв. був трафік, а як зробити щоб завжди пускало ? тобто щоб перевірялось тільки по ір
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 13 Марта 2011, 00:05:23 У тебя vlan/user? Иначе это не безопасно!
Дело твое... В файле stat.pl Закоментить строку: Код: 209 if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: Андрій от 13 Марта 2011, 00:30:14 Дякую, але краще було б щоб тільки в деяких користувачів пускало без паролю, тобто в технічних даних добавити кнопку "пускати в статистику без паролю -да\нет". Як можна таке зробити ?
Название: Re: Страничка статистики пускает БЕЗ авторизации Отправлено: 0xbad0c0d3 от 13 Марта 2011, 00:33:28 Комерц. ПМ
|