Забыли пароль?
Запросите новый здесь.

Автор темы: wowan
ID темы: 1463
Информация:
Тема содержит 55 сообщения, была просмотрена 20573 раз.  Имеются прикрепленные файлы.
Просмотр темы
PHP-Fusion Russia » Поддержка 7 версии » Безопасность
 Распечатать тему
Help! IP не скрыть?
wowan
Суть: на сайте появился юзер, который видит(?!!!) IP-адреса посетителей. Всех, даже незарегистрированных. Кичится этим су гад. Да и остальным не очень приятно - в случае чего....
В чем может быть причина? На всякий случай пароли все поменял. HELP!!! bc
 
Web
mishqa35
где именно он их видит..
 
Web
wowan
mishqa35 написал:

где именно он их видит..


Не знаю где ещё, но в комментариях - точно. На сайте гости также могут их оставлять...
 
Web
mishqa35
Комментарии стандартные?
 
Web
wowan
mishqa35 написал:

Комментарии стандартные?


Нет. На ajax. Но я уже удалил часть кода, которая показывает ip для админов.
 
Web
Rush
ну видит и видит, что с того?
 
Web
Pisatel
Тоже непонятно, что с того? IP- секретная информация? Забей. Того типа- в баню по его же любимому IP.
 
Web
wowan
ну видит и видит, что с того?


Я бы не парился по этому вопросу. Но дело в специфике сайта. Это - новостной портал небольшого городка. Комментарии в адрес властей и оппонентов не всегда бывают лицеприятными. Соответственно, их авторы не очень жаждут публичности.

IP- секретная информация?.


А что - нет? Если известен IP и время - о какой конфиденциальности может идти речь?

P/S: Просьба помочь по сути вопроса, а не отсылать к федеральным законам о защите данных и т.д. Ведь мы живем в самой (... эпитет на ваш выбор...) стране на свете, где для получения информации о человеке по ip вовсе не обязательно обращаться в правоохранительные органы.
 
Web
Neo_Allex
до какой-то версии Фьюжика была ошибка в локали, через которую в настройках можно было нечаяно включить показ ip для всех...
поищи на php-fusion7.ru - там обсуждалось...
http://how-make.i...ticles.php - как это делают? Современные технологии изготовления вещей и изделий...
 
Web
wowan
Neo_Allex написал:

до какой-то версии Фьюжика была ошибка в локали, через которую в настройках можно было нечаяно включить показ ip для всех...
поищи на php-fusion7.ru - там обсуждалось...


Спасибо за предположение. Уже ближе к теме. Но не то. Под простым юзером облазил весь сайт. Зацепиться не за что.
Уточню. IP становится известен сразу после того как гость оставил коммент. Даже если он больше нигде не засветился.

Может быть дыра в ajax комментах? Или без взлома или предательства здесь не обошлось?
 
Web
Rush
посмотри что уходит/приходит в аякс запросах. или дай ссыль
 
Web
wowan
Rush написал:

посмотри что уходит/приходит в аякс запросах. или дай ссыль


С ajax не очень дружу. А ссыль на что? На сайт? Да пожалуйста, это не секрет - http://newdwinsk.ru
 
Web
Polarfox
Это мой мод, там проверка для выборке при
iADMIN && checkrights('C')
те если не админ даже выборки не будет, а далее при выводе повторная проверка на авторство комента /админство.

Тут уже был один кадр который мильоны уязвимостей нашел, и целых 0 сдал (не хотел видимо раскрывать, верю).

Но если хотите, проводите аудит - я за.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
wowan
PolarFox написал:

Это мой мод, там проверка для выборке при
iADMIN && checkrights('C'ad
те если не админ даже выборки не будет, а далее при выводе повторная проверка на авторство комента /админство.

Тут уже был один кадр который мильоны уязвимостей нашел, и целых 0 сдал (не хотел видимо раскрывать, верю).

Но если хотите, проводите аудит - я за.


Прошу прощения, уважаемый PolarFox, если неосмотрительно задел Вас. К Вам-то как раз претензий нет.
Ваше мнение - где искать?
 
Web
Polarfox
wowan, мэн, кончай троллинг, я не ведусь на это...

Мне бы хотелось найти доказательства, пока мы верим на слово, искать следует с них.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
wowan
PolarFox написал:

Мне бы хотелось найти доказательства, пока мы верим на слово, искать следует с них.


Простите, туплю уже, но я не понял ход Вашей мысли...
 
Web
Pisatel
думаю, PF имел ввиду, что слова твоего посетителя о том, что он видит IP- просто слова. Есть доказательства этого? Например, список этих IP гостей от него?
 
Web
Rush
wowan написал:

Rush написал:

посмотри что уходит/приходит в аякс запросах. или дай ссыль


С ajax не очень дружу. А ссыль на что? На сайт? Да пожалуйста, это не секрет - http://newdwinsk.ru

и где там аякс коменты, что-то в упор не вижу. и консоль открывал хоть раз?
 
Web
Polarfox
Rush, полистай странички ( http://newdwinsk.ru/news.php?readmore=221 ).
Тут такие же стоят.
Всегда делайте backup перед изменениями | Указывайте свою версию в подписи/профиле.
Ежели кто забанен за спам, но не считает себя ботом: можете сообщить мне об этом, все будет хорошо.

PolarLab - вход для подопытных
 
Web
Rush
и где там аякс? добавляю комментарий - страница обновляется. странизация тоже увы далеко не аякс.
склоняюсь к варианту лиса - автор шума пи*дит
 
Web

Поделиться этой темой
Социальные закладки: Vkontakte Odnoklassniki Mail.ru Facebook Google Tweet This
URL:
BBcode:
HTML:

Перейти на форум: