Страничка статистики пускает БЕЗ авторизации

[Elisium]

Всем доброго дня.
До настоящего момента в нашей сети не было сервисов, позволяющих переводить клиенту средства со своего счета "куда-то". И из-за нижеизложеной проблемы пока не можем их включить.

Так вот в чем проблема:
Есть некоторые клиенты (немного). У них стоит доступ "БЕЗ авторизации". В этих сегментах привязки по ипу нет.
Если хитрож*пый клиент просканит свою подсеть на предмет ипов, с которых пускает в инет без авторизации, он может поставить СЕБЕ такой ип. Тоесть, для биллинга будет уже ДРУГИМ клиентом. И его пустит на страничку такого клиента НЕ СПРАШИВАЯ логин/пароль.
Соответственно, он может вывести средства "куда-то". Например, на мобилу итд.

Поэтому вопрос: есть ли галка в биллинге/что(где) подправить в коде, что бы авторизацию спрашивало ВСЕГДА ? Или если есть возможность, то спрашивало только для клиентов с доступом "Всегда онлайн"?

[Efendy]

На страницу статистики можно попасть:

1) по логину/паролю
2) авторизовавшись авторизатором

По-другому нельзя, ты тестил описанный случай? Может они другими методами попадают?

[0xbad0c0d3]

Конечно, у тебя есть такая удобная вещ, как показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафф? Если да, то тут причина понятна. На страницу статы пускает если поле auth='on', а с вышеописаной фишкой это поле будет 'on' и соответственно пустит на страницу. Я уже где-то на форуме писал решение сего вопроса но напишу еще и здесь...
Файл stat.pl (тот, что в ведомстве веб-сервера)
Находим:

Код:

196 $where=$id? "id=$id":"ip='$ip'";
197 $p=&sql_select_line($dbh,"SELECT * FROM users WHERE $where LIMIT 1");

Меняем:

Код:

196 $where=$id? "id=$id":"ip='$ip'";
197 $p=&sql_select_line($dbh,"SELECT * FROM users WHERE lstate=0 AND $where LIMIT 1");

[Elisium]

По-другому нельзя, ты тестил описанный случай? Может они другими методами попадают?

Да, попробовал.

Конечно, у тебя есть такая удобная вещ, как показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафф? Если да, то тут причина понятна..

Да, есть конечно )) Фишка ж реально удобная )))))
Ок, вариант сейчас попробую.
Если на форуме и писалось, то с наскока не нашел ..(

[Elisium]

Попробовал.
Не совсем работает )
Тоесть - появляется страничка авторизации с полями для ввода логина/пароля.
Ввожу верные логин/пароль - опять выбрасывает на этоже окошко (((
Ввожу НЕверные логин/пароль - пишет "Неверная авторизация"

... заменил  на

Код:

$p=&sql_select_line($dbh,"SELECT * FROM users WHERE lstate=0 AND $where LIMIT 1");

[0xbad0c0d3]

Да, я тупанул, там в выборке ничего не делай.
Это есть:

Код:

209 if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}

?
Должно быть. Делай так:

Код:

if (!$AUTH && ($p->{auth} eq 'no' || $p->{lstate})) {&Login(); &Exit}

[Elisium]

Как ни прискорбно, но ситуация аналогичная (

Тоесть - появляется страничка авторизации с полями для ввода логина/пароля.
Ввожу верные логин/пароль - опять выбрасывает на этоже окошко (((
Ввожу НЕверные логин/пароль - пишет "Неверная авторизация"

[0xbad0c0d3]

Ты убрал из выборки lstate??
То есть вернул:

Код:

$p=&sql_select_line($dbh,"SELECT * FROM users WHERE $where LIMIT 1");

[Elisium]

Ну да.
Само собой.

[0xbad0c0d3]

Ну тогда, что я делаю не так? Если у меня все ОК? Спецом проверил.

[Elisium]

Хм. Перепроверю еще раз.
п.с. у нас билль 50.19. Но там, насколько могу судить, код почти не менялся в этом куске файла.

[0xbad0c0d3]

Ну я на 50.32. Кинь весь stat.pl

[Elisium]

Да, всё на первый взгляд, работает, как хотелось 
п.с. В принципе, все и с первой попытки должно было заработать.
Я с тяжелого рабочего дня тупанул, признаю ))
п.п.с. Большое спасибо отзывчивому человеку ))

[poxy.]

Да, я тупанул, там в выборке ничего не делай.
Это есть:

Код:

209 if (!$AUTH && $p->{auth} eq 'no') {&Login(); &Exit}

?
Должно быть. Делай так:

Код:

if (!$AUTH && ($p->{auth} eq 'no' || $p->{lstate})) {&Login(); &Exit}

+1 спасибо!

[Elisium]

Между прочим, по теме: БЕЗ этого исправления использование вышеописаной "фишки" (показ иконки-ключика возле клиента если у него "всегда онлайн" и есть трафик) чревато СЕРЬЁЗНЫМИ проблемами в плане безопасности пользовательских данных (первый пост темы).
Поэтому всем исправить в срочном порядке )

п.с. В той ТЕМЕ этого фикса вроде нет.

п.п.с. Возможно я опять открыл Америку и это у всех уже давно сделано ))