ROZWIĄZANY: Problem z bezpieczeństwem ipb 3.0.5?

[bort]

Witam,

mam problem z pewnym użytkownikiem na ipb 3.0.5 - koleś rejestruje się (widoczna data jego rejestracji na początku 2009) i pisze tylko jednego posta z prośbą o usunięcie konta. Usuwam jego konto (jestem tego pewien), po czym za jakiś czas koleś znowu pisze posta z tego samego loginu, w którym ponownie prosi o usunięcie jego konta (ten sam login, data rejestracji z zeszłego roku). Zrobił to już 3 raz i zaczyna drwić z admina

Czy była wydana jakaś łatka bezpieczeństwa? Czy wiecie coś na ten temat? Czy ta dziura w bezpieczeństwie pozwala na coś więcej niż np. wstawienie wstecznej daty rejestracji przy zakładaniu konta?

Będę wdzięczny za pomoc.

pozdrawiam

[DawPi]

Czy była wydana jakaś łatka bezpieczeństwa? Czy wiecie coś na ten temat? Czy ta dziura w bezpieczeństwie pozwala na coś więcej niż np. wstawienie wstecznej daty rejestracji przy zakładaniu konta?

Nie ma takiej dziury.. Możesz podać adres forum?

Jeśli zakłada ciągle konto o takim samym loginie to zbanuj tę nazwę:

ACP Użytkownicy Filtry blokad

i dodaj nowy filtr typu Nazwa użytkownika/

[bort]

Tak, pomyślałem o takim rozwiązaniu... ale pomyślałem też, że zanim zacznę go drażnić to spróbuję się zorientować jakie ma możliwości Adres forum wysłałem Ci na PW.

[DawPi]

Czy Ty aby na pewno zablokowałeś możliwość pisania dla grupy gości?

Pytanie kolejne: czy inni użytkownicy mają poprawną datę rejestracji?

Wszystko jest dziwne, bo w pliku jest wyraźnie:

'joined'					=> time(),

Czyli pobiera datę funkcją time(), która to:

Zwraca aktualny czas, podawany jako liczba sekund, które upłynęły od uniksowej Epoki (1 stycznia 1970 00:00:00 GMT).

[bort]

Możliwość pisania dla gości pozostawiłem tylko na jednym forum "Pomoc techniczna" i tak - właśnie na tym forum użytkownik zamieszcza posty z prośbą o usunięcie mu konta.

Tak, wszyscy pozostali użytkownicy mają prawidłową datę rejestracji.

Na tą chwilę usunąłem kolejny raz tego użytkownika i na razie jest cisza. Nie komentowałem jego postów w żaden sposób (niczym go nie drażniłem) więc może mu się znudzi i sytuacja się więcej nie powtórzy...

[DawPi]

Wg mnie to może nie być problem bezpieczeństwa, ale bug związany z tym, że datę rejestracji pobierało od 'zmarłego' użytkownika. Sprawdź teraz, czy po zbanowaniu jego nazwy problem się powtórzy.

[bort]

Wiem już skąd wynikał problem - mam zainstalowane IPB.converge, które niestety nie jest już rozwijane i wspiera tylko podstawowe operacje na użytkowniku. Kasując użytkownika na forum, pozostaje on w bazie converge i jeśli taki użytkownik wróci i się zaloguje to jego konto na forum jest odtwarzane z danymi z bazy converge

ps. jeśli macie zainstalowane converge to nie kasujcie kont zbanowanych użytkowników - converge nie obsługuje flag zbanowany, więc jeśli usuniecie konto na forum a spamer wróci, to jego konto na forum zostanie odtworzone na podstawie danych z converge... czyli bez flagi zbanowany... lipa...

Edytowane 17 Września 2012 przez bort

[DawPi]

Trochę Ci to zajęło, ale dzięki.

[DawPi]

Problem ROZWIĄZANY. Jeśli są jakiekolwiek wątpliwości, pytania proszę o wysłanie wiadomości do jednego z członków ekipy zarządzającej.

Wszelkie uzasadnione reklamacje/pretensje/sugestie/rady przyjmuje ekipa forum.