В наших форумах была найдена уязвимость, позволяющаю вставить javascript в сообщение и получить куки пользователя.
По приблизительным данным злоумышленником было испорчено около 5-6 форумов (включая этот).В данный момент такой уязвимости уже нет.
Кроме того, сделана авторизация с проверкой ip адреса.
Поэтому даже получив куки, злоумышленник ничего сделать не сможет.
При смене ip адреса Вам нужно будет повторно авторизоваться.Могу с уверенностью сказать, что с новой системой авториации взломать форум просто невозможно.
Безопасность форумов
Сообщений 1 страница 4 из 4
Поделиться12008-03-27 15:06:54
Поделиться22008-03-27 15:07:41
Насколько вы все уже знаете, на форумах mybb с недавнего времени действует привязка на ip. Это сделано в целях повышения безопастности. Но теперь кое что изменилось, теперь обычные пользователи могут сделать настройку своей защиты.
Профиль==>Приватность
У обычных пользователей будет три уровня безопастности:
======
Высокий (Привязать автоматическую авторизацию к IP адресу)
Средний (Привязать автоматическую авторизацию к подсети IP адреса)
Низкий (IP адрес при автоматической авторизации не проверяется)
======
Высокий-Полная привязка на ip адрес.
Средний-Привязка до маски класса С включительно, т.е. если у вас Dial-Up, и ip изменяется, то форум будет запоминать (выделю красным):
10.10.10.10
Теперь у пользователей Dial-up (если установлен средний уровень безопастности) не будут спрашивать пароль при каждом новом подключении.
Низкий-Привязка полностью отключена.
------------
У модераторов и администраторов по умолчанию действует Высокий уровень безопастности, и никак вы его отключить не сможете. (Даже если отлючите опцию в профиле, уровень безопастности будет высоким)
Поделиться32008-03-27 15:08:21
Admin написал:
В связи с ненадежностью бесплатных почтовых сервисов был введен запрет на восстановление пароля на e-mail.
Письмо с регистрационными данными форума рекомендуется удалить из почтового ящика и сохранить у себя на компьютере.
Таким образом Ваш форум никогда не взломают.
Alex Gt написал:
А если я его например забуду выйду , а потом просто забуду что тогда делать?
Admin написал:
Главный администратор должен помнить свой пароль (или записать где-то), иначе будет мало шансов его восстановить.
Поделиться42008-03-27 15:08:39
Ранее администратор или модератор мог выбрать между высоким и средним уровнем безопасности.
С этого момента можно выбрать и низкий уровень безопасности (тогда Вас форум будет запоминать как часто Ваш IP не меняется).
Но это это на Ваш страх и риск!Напомню, при высоком уровне защиты идет привязка к IP адресу.
Даже добровольная отдача cookies злоумышленнику ничего не даст.
Быстрый ответ
Похожие темы
Новые Возможности Форума (скрипты) | Новые возможности форума | 2009-04-24 |
Ответы на часто задаваемые вопросы (FAQ) | Умная справка | 2008-03-27 |
Прокси | Умная справка | 2008-03-27 |
Чего точно не будет на MyBB | Сервисная Информация | 2008-03-27 |
Таблицы веб-цветов | Умная справка | 2008-03-27 |