Биллинговая система Nodeny

Главная категория => Nodeny 50 => Тема начата: Aivanzipper от 05 Октября 2010, 12:53:20



Название: Авторизация в личном кабинете
Отправлено: Aivanzipper от 05 Октября 2010, 12:53:20
Прошу разработчиков или тех, кто просто владеет данной информацией, поделиться: каким образом происходит автоматическая авторизация пользователя при попытке зайти в личный кабинет? Должна быть страница с формой логина-пароля. Все дело в том, что у половины юзеров форма с логином-паролем есть, т.е. все нормально, а у второй половины происходит "автологин". Закономерности не найдено. Запомненый пароль в браузере исключен: недавно подключили клиента и при первой попытке зайти в личный кабинет его автоматом авторизировало. Повторюсь: закономерности не нашел. ПС: у всех пппое.


Название: Re: Авторизация в личном кабинете
Отправлено: versus от 05 Октября 2010, 13:07:13
а исходный код глянуть не судьба ?


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 05 Октября 2010, 13:30:20
Валентин, я вас лично раза 3 об этом по аське спрашивал - ответа вы мне так и не дали. Хотел всех на автологин посадить. Ваш ответ тогда был: "не секурно это, все должно быть под паролями"


Название: Re: Авторизация в личном кабинете
Отправлено: VitalVas от 05 Октября 2010, 16:39:57
какие скрипты, доработки, модули используются?


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 05 Октября 2010, 17:06:56
Да много всякого.... но авторизацию не трогал. Да и на голой нодени такое было уже.

Тогда давно я помню вроде-бы нашел некую закономерность в этом: если в mpd5.conf адресом сервера поставить действительный айпишник внутреннего интерфейса, то срабатывал автологин. Потом я, внимая совету разработчика, изменил этот адрес на вообще левый (как известно, туннелю пофиг какие там адреса), даже на какое-то время мне показалось что это решило вопрос. Но нет, как видите.. Скажите коллеги, у вас всегда все четко с этой авторизацией? У меня одного косяк?


Название: Re: Авторизация в личном кабинете
Отправлено: VitalVas от 05 Октября 2010, 17:54:53
Скажите коллеги, у вас всегда все четко с этой авторизацией? У меня одного косяк?
У меня в сети все четко работает, и таких косяков нету....
может ты что-нибудь там немного неправильно делаешь, и у тебя срабатывает такая штука....


Название: Re: Авторизация в личном кабинете
Отправлено: versus от 05 Октября 2010, 19:31:09
Валентин, я вас лично раза 3 об этом по аське спрашивал - ответа вы мне так и не дали. Хотел всех на автологин посадить. Ваш ответ тогда был: "не секурно это, все должно быть под паролями"

Я и сейчас подпишусь под этими словами "не секурно это, все должно быть под паролями".
Можете напомнить когда вы 3 раза спрашивали про ИМЕННО ЭТУ ПРОБЛЕМУ  и я не ответил ???
Понимаете код открыт, у нас данной проблемы нет,  проверил на трех сателитных сетях, тоже такой проблемы нет. Все на пппое.

Поэтому и был дан ответ, посмотрите что у вас в коде творится...


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 05 Октября 2010, 20:12:09
Можете напомнить когда вы 3 раза спрашивали про ИМЕННО ЭТУ ПРОБЛЕМУ  и я не ответил ???

Цитировать
Aivan ® (18:11:53 9/11/2009)
как сделать чтобы не спрашивало логин и пароль для доступа в клиентскую статистику если авторизирован пппое?
Валентин Nodeny (18:12:02 9/11/2009)
никак
Aivan ® (18:17:43 9/11/2009)
а чего раньше работало так?....
Валентин Nodeny (18:33:26 9/11/2009)
вернемся назад на 48 версию ?


Цитировать
Поэтому и был дан ответ, посмотрите что у вас в коде творится...

могу выложить сюда stat.pl. Кроме него еще надо что-то?


Название: Re: Авторизация в личном кабинете
Отправлено: elite от 06 Октября 2010, 01:09:13
когда клиент авторизован и заходит в статистику со своего ип, то логин с паролем не спрашивается :)


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 06 Октября 2010, 08:13:21
когда клиент авторизован и заходит в статистику со своего ип, то логин с паролем не спрашивается :)

в том-то и дело, что не у всех так!


Название: Re: Авторизация в личном кабинете
Отправлено: ser970 от 06 Октября 2010, 08:38:06
когда клиент авторизован и заходит в статистику со своего ип, то логин с паролем не спрашивается :)

в том-то и дело, что не у всех так!

там где не заходит - проверь с какого апи идет заход.
что то мне подсказывает что апи разные.


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 06 Октября 2010, 08:43:16
когда клиент авторизован и заходит в статистику со своего ип, то логин с паролем не спрашивается :)

elite, ты в этом уверен? Или так должно быть?


Название: Re: Авторизация в личном кабинете
Отправлено: elite от 06 Октября 2010, 10:47:18
угу, у тех, у кого просит авторизацию, проверь, с какого ип ломится на статистику? может с интерфейсного


Название: Re: Авторизация в личном кабинете
Отправлено: versus от 06 Октября 2010, 11:01:47
Можете напомнить когда вы 3 раза спрашивали про ИМЕННО ЭТУ ПРОБЛЕМУ  и я не ответил ???

Цитировать
Aivan ® (18:11:53 9/11/2009)
как сделать чтобы не спрашивало логин и пароль для доступа в клиентскую статистику если авторизирован пппое?
Валентин Nodeny (18:12:02 9/11/2009)
никак
Aivan ® (18:17:43 9/11/2009)
а чего раньше работало так?....
Валентин Nodeny (18:33:26 9/11/2009)
вернемся назад на 48 версию ?


Цитировать
Поэтому и был дан ответ, посмотрите что у вас в коде творится...

могу выложить сюда stat.pl. Кроме него еще надо что-то?

Ну так где 3 раза которые я не ответил ??
Судя по логу переписки в аське я ответил, причем достаточно оперативно.
Прошу ваши голословные утверждения в следующий раз  оставить при себе...




Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 06 Октября 2010, 11:48:29
Валик, еще 2 раза спрашивал но ответа вообще не проследовало. Ну да ладно, я не об этом! Тут вон elite утверждает что при обращении к странице личной статистики со своего айпи авторизация проходит автоматом. Почему-же тогда

Цитировать
Aivan ® (18:11:53 9/11/2009)
как сделать чтобы не спрашивало логин и пароль для доступа в клиентскую статистику если авторизирован пппое?
Валентин Nodeny (18:12:02 9/11/2009)
никак

?


Название: Re: Авторизация в личном кабинете
Отправлено: versus от 06 Октября 2010, 23:23:42
Потому что никак, в фрегате я авторизован по пппое  все время 24 часа в сутки, при этом заходя в статистику я всегда ввожу логин с паролем.

Мой ответ отражает мой опыт, что там и как у других я понятия не имею.


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 07 Октября 2010, 08:00:43
Хы-хы  :) давайте определяться


Название: Re: Авторизация в личном кабинете
Отправлено: Александр (AleksHr) от 07 Октября 2010, 09:35:26
Хы-хы  :) давайте определяться

У меня при запущеном авторизаторе - всегда пускает, по остальных методах авторизации сказать ничего не могу.


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 07 Октября 2010, 09:45:18
я авторизован по пппое  все время 24 часа в сутки, при этом заходя в статистику я всегда ввожу логин с паролем.

А на интерфейсе TCP/IP есть?


Название: Re: Авторизация в личном кабинете
Отправлено: versus от 07 Октября 2010, 10:04:50
нет никаких настроек tcp/ip только пппое.


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 07 Октября 2010, 11:20:32
Вообще интересно становится.. Надо Стаса спросить.


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 07 Октября 2010, 20:25:58
Я поступил просто
изменил строку
Код:
if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}
на
Код:
if ($p->{mid}){ $id = $p->{mid} }else{ $id = $p->{id} }
$p1=&sql_select_line($dbh,"SELECT * FROM users WHERE auth='on' AND (id=$id OR mid=$id) LIMIT 1");
if (!$AUTH && !$p1){ &Login(); &Exit }
и все


Название: Re: Авторизация в личном кабинете
Отправлено: Maks от 09 Октября 2010, 22:07:42
Я поступил просто
изменил строку
Код:
if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}
на
Код:
if ($p->{mid}){ $id = $p->{mid} }else{ $id = $p->{id} }
$p1=&sql_select_line($dbh,"SELECT * FROM users WHERE auth='on' AND (id=$id OR mid=$id) LIMIT 1");
if (!$AUTH && !$p1){ &Login(); &Exit }
и все

И если не секрет, что изменилось?

P.S У меня открыв без логина и пароля, и я этим доволен, меньше мне звонков.
Если что абон и наклацает, ребенок или еще кто, это его проблемы.. да и я ж типо лояльных хороший, подкручу как нужно.


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 10 Октября 2010, 00:36:22
И если не секрет, что изменилось?

P.S У меня открыв без логина и пароля, и я этим доволен, меньше мне звонков.
Если что абон и наклацает, ребенок или еще кто, это его проблемы.. да и я ж типо лояльных хороший, подкручу как нужно.

Если клиент авторизирован по любому из своих логинов, то на стату его пустит без запроса логина и пароля не важно с какого IP(любой привязанный к учетке) он заходит.


Название: Re: Авторизация в личном кабинете
Отправлено: smallcms от 10 Октября 2010, 01:34:34
Код:
if ($p->{mid}){ $id = $p->{mid} }else{ $id = $p->{id} }
$p1=&sql_select_line($dbh,"SELECT * FROM users WHERE auth='on' AND (id=$id OR mid=$id) LIMIT 1");
if (!$AUTH && !$p1){ &Login(); &Exit }
Спасибо за код


Название: Re: Авторизация в личном кабинете
Отправлено: Maks от 10 Октября 2010, 10:32:12
+1 К Карме :)


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 10 Октября 2010, 12:00:20
А я уже склоняюсь к тому чтобы логин-пасс надо было обязательно вводить.


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 10 Октября 2010, 20:21:51
А я уже склоняюсь к тому чтобы логин-пасс надо было обязательно вводить.
Да это конечно же лучще. Но, если юзеры, в основном, животные с кавказа, то лучще пусть сидят без пасса, тем более, что если ты подключен по ПППоЕ, то знаешь пасс, а значит войдешь в стату.


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 11 Октября 2010, 08:15:54
Вот не факт, много у кого этот пасс сохранен в pppoe-клиенте.


Название: Re: Авторизация в личном кабинете
Отправлено: stix от 11 Октября 2010, 08:47:50
я наоборот избавляю хомяков от логинов и паролей.
имбицилов хватает


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 11 Октября 2010, 08:54:01
По-моему, логин-пасс это фундаментальная единица безопасности в сети с архитектурой которая включает авторизацию. Вам так не кажется?


Название: Re: Авторизация в личном кабинете
Отправлено: stix от 11 Октября 2010, 09:17:46
По-моему, логин-пасс это фундаментальная единица безопасности в сети с архитектурой которая включает авторизацию. Вам так не кажется?
не кажется


Название: Re: Авторизация в личном кабинете
Отправлено: Александр (AleksHr) от 11 Октября 2010, 09:22:08
Хм, а никто не подскажет как сделать чтобы логин и пасс наоборот всегда спрашывало, даже если абонент авторизирован?)


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 11 Октября 2010, 10:41:39
Хм, а никто не подскажет как сделать чтобы логин и пасс наоборот всегда спрашывало, даже если абонент авторизирован?)
замени:
Код:
if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}
на
Код:
if (!$AUTH) {&Login(); &Exit}


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 11 Октября 2010, 10:42:29
По-моему, логин-пасс это фундаментальная единица безопасности в сети с архитектурой которая включает авторизацию. Вам так не кажется?
не кажется
+1


Название: Re: Авторизация в личном кабинете
Отправлено: Aivanzipper от 11 Октября 2010, 11:39:34
а что-же тогда? мак-адрес?  ;D


Название: Re: Авторизация в личном кабинете
Отправлено: elite от 11 Октября 2010, 13:27:44
а что-же тогда? мак-адрес?  ;D
порт, куда включен абонент :)
но согласен, что на такие операции, как смена тарифного плана, смена пароля, заказ дополнительных услуг надо требовать ввод логина-пароля


Название: Re: Авторизация в личном кабинете
Отправлено: 0xbad0c0d3 от 11 Октября 2010, 13:29:05
а что-же тогда? мак-адрес?  ;D
snmp+mac-port-binding :)
А вообще понятие "БЕЗОПАСНОСТЬ" -- иллюзия!


Название: Re: Авторизация в личном кабинете
Отправлено: stix от 11 Октября 2010, 17:33:14
а что-же тогда? мак-адрес?  ;D
snmp+mac-port-binding :)
А вообще понятие "БЕЗОПАСНОСТЬ" -- иллюзия!
это факт )
в своих сетях меня ничто не остановит  ;D