Недочёт системе администрирования Commfort
Недочёт системе администрирования Commfort
Сам по себе чат замечательный! Лучше не видел.
Но обнаружился глюк с администрированием.
В системе администрирования есть огромная дыра.
Нет возможности введения пароля для модераторов и админов.
Любой клиент сети может запросто стать модератором, достаточно знать МАС адрес, и IP любого из модеров (они в чате отображаются). Подставить IP и подставить МАС адрес проблем нет. Именно это и произошло в нашей сети, в итоге чат в дауне, забанили всех клиентов.
Но обнаружился глюк с администрированием.
В системе администрирования есть огромная дыра.
Нет возможности введения пароля для модераторов и админов.
Любой клиент сети может запросто стать модератором, достаточно знать МАС адрес, и IP любого из модеров (они в чате отображаются). Подставить IP и подставить МАС адрес проблем нет. Именно это и произошло в нашей сети, в итоге чат в дауне, забанили всех клиентов.
не давай ни кому права админа чата.
пусть будут только модераторами.
админь чат с той же машины где установлен серв.
клиента подключи и соотвественно права дай на 127.0.0.1 под таких IP кроме тебя ни кто больше не сможет войти.
есть еще один баг более серьезный. но его обещали исправить.
кстати его в сервере 3.20 поправят?
пусть будут только модераторами.
админь чат с той же машины где установлен серв.
клиента подключи и соотвественно права дай на 127.0.0.1 под таких IP кроме тебя ни кто больше не сможет войти.
есть еще один баг более серьезный. но его обещали исправить.
кстати его в сервере 3.20 поправят?
-
- Администратор
- Сообщения: 6869
- Зарегистрирован: 09:56, 27.06.2005
wizard50
Да.
Dmitry
Неоднократно эта ситуация на форуме обсуждалась.
Общий смысл таков: текущая система авторизации очень удобна для пользователей, достаточно надежна в управляемых сетях и недостаточно надежна в неуправляемых. Авторизация по учетным записям менее удобна для пользователей, но более надежна. В версии 4 вопросам авторизации будет уделено серьезное внимание, будут поддерживаться разные типы, включая учетные записи.
Да.
Dmitry
Неоднократно эта ситуация на форуме обсуждалась.
Общий смысл таков: текущая система авторизации очень удобна для пользователей, достаточно надежна в управляемых сетях и недостаточно надежна в неуправляемых. Авторизация по учетным записям менее удобна для пользователей, но более надежна. В версии 4 вопросам авторизации будет уделено серьезное внимание, будут поддерживаться разные типы, включая учетные записи.
К сожалению сеть неуправляема...Maxim Mirgorodsky писал(а):wizard50
Да.
Dmitry
Неоднократно эта ситуация на форуме обсуждалась.
Общий смысл таков: текущая система авторизации очень удобна для пользователей, достаточно надежна в управляемых сетях и недостаточно надежна в неуправляемых. Авторизация по учетным записям менее удобна для пользователей, но более надежна. В версии 4 вопросам авторизации будет уделено серьезное внимание, будут поддерживаться разные типы, включая учетные записи.
Спасибо за совет!wizard50 писал(а):Это уже выходит за тематику данного форума. Тем не менее. Начни с L2NG. Раздели сеть на сегменты. и так далее... на наге очень много полезного почерпнешь. в любом случае на не управляемой сети есть куча способов испортить жизнь серверу.
Это не офисная и тем более не домашняя сеть.
Это vpn сеть одного из местных провайдеров "наложенная" на кабельное ТВ.
Dmitry точно такая же проблема(((
Калуга Commfort-Server: commfort.mine.nu порт 9740
***
http://noveg.ucoz.ru - ТУТ Не большой портал с форумом.
***
http://noveg.ucoz.ru - ТУТ Не большой портал с форумом.
Re: Недочёт системе администрирования Commfort
Ваще хрень, я это решил таким способомDmitry писал(а):Сам по себе чат замечательный! Лучше не видел.
Но обнаружился глюк с администрированием.
В системе администрирования есть огромная дыра.
Нет возможности введения пароля для модераторов и админов.
Любой клиент сети может запросто стать модератором, достаточно знать МАС адрес, и IP любого из модеров (они в чате отображаются). Подставить IP и подставить МАС адрес проблем нет. Именно это и произошло в нашей сети, в итоге чат в дауне, забанили всех клиентов.
1. Убрал всех модеров и админов
2. Разрешил админку только себе, а сервак стоит на моем ипе
3. Поставил антимат бот для тех случаев когда я не в чате
Кстати, по поводу вышеописанного. Столкнулись с проблемой. Тело поменяло мак-адрес сетевой карты на мак одного из модераторов, соответственно IP получен такой же как у модера по DHCP. После этого вошло в чат, когда модератора комп был выключен, под ником этого модератора, почистило список банов, вместо этого забанив всех существующих модераторов, после чего благополучно исчезло.
С этим нужно что-то делать. Выключение идентификации по маку создаёт ещё больше проблем, поскольку установить модераторский IP вручную, прописать его ник и шлюз ещё проще, чем поменять мак-адрес карты (поскольку там ещё нужно быть в сегменте модератора, чтобы получить по DHCP точно такой же IP как у оного).
Ещё раз попробую настоять (наверное меня просто не поняли в прошлый раз, посчитав моё пожелание слишком сложным для реализации) - было бы очень удобно, если бы мак-адрес и IP юзера показывался ТОЛЬКО модераторам. Т.е. система авторизации по макам и IP осталась как есть. Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам, т.е. они не могли бы их видеть (читать) на экране (скрытое поле), при этом обмен сообщениями происходил в таком же режиме как сейчас, используя IP или mac-адрес.
В текущем состоянии чат (а точней его админилка) для больших сетей НЕ ГОДИТСЯ. Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему? Осталось скомуниздить пароль (что для многих особо труда не представляет) и потом картина называется - "Бери и юзай чужой инет гигабайтами".
С этим нужно что-то делать. Выключение идентификации по маку создаёт ещё больше проблем, поскольку установить модераторский IP вручную, прописать его ник и шлюз ещё проще, чем поменять мак-адрес карты (поскольку там ещё нужно быть в сегменте модератора, чтобы получить по DHCP точно такой же IP как у оного).
Ещё раз попробую настоять (наверное меня просто не поняли в прошлый раз, посчитав моё пожелание слишком сложным для реализации) - было бы очень удобно, если бы мак-адрес и IP юзера показывался ТОЛЬКО модераторам. Т.е. система авторизации по макам и IP осталась как есть. Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам, т.е. они не могли бы их видеть (читать) на экране (скрытое поле), при этом обмен сообщениями происходил в таком же режиме как сейчас, используя IP или mac-адрес.
В текущем состоянии чат (а точней его админилка) для больших сетей НЕ ГОДИТСЯ. Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему? Осталось скомуниздить пароль (что для многих особо труда не представляет) и потом картина называется - "Бери и юзай чужой инет гигабайтами".
Niggaz - все это понятно и обсуждалось много раз.
Но давай еще раз по порядку:
Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему
делай пуск выполнить "arp -a". ты увидишь все соответствия, если там нет IP который тебе нужен и он в твоем сегменте, то делай PING IP и затем снова делай команду arp. скрыть это не возможно и чат тут не причем. поставь вайпрес чат (да и почти любой другой) там тоже есть отображение мака и IP. поставь netview или любую другу программу для просмотра компов в сети и ты увидишь это.
для больших сетей НЕ ГОДИТСЯ
в больших сетях как раз это абсолютно все равно, так как там идет привязка IP+mac на порт коммутатора.
Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам
да я готов согласиться, что лишний инструмент не нужен. но только потому, что это провоцирует подбирать адреса модератора (админ у меня сидит на 127 ип и его ни как нельзя подобрать).
но убрать в текущем варианте работы чата отображение ни как нельзя. потому, что при отсылке сообщения используется МАК, ИП, ник. а теперь представь что тебе надо отослать сообщение человеку у которого ип такой же как у 10 других? а как будет работать игнор лист? а как ты переписываясь узнаешь что это не его сосед подделал ник? ты попробуй поэтапно задумайся над этим. и все поймешь.
Но давай еще раз по порядку:
Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему
делай пуск выполнить "arp -a". ты увидишь все соответствия, если там нет IP который тебе нужен и он в твоем сегменте, то делай PING IP и затем снова делай команду arp. скрыть это не возможно и чат тут не причем. поставь вайпрес чат (да и почти любой другой) там тоже есть отображение мака и IP. поставь netview или любую другу программу для просмотра компов в сети и ты увидишь это.
для больших сетей НЕ ГОДИТСЯ
в больших сетях как раз это абсолютно все равно, так как там идет привязка IP+mac на порт коммутатора.
Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам
да я готов согласиться, что лишний инструмент не нужен. но только потому, что это провоцирует подбирать адреса модератора (админ у меня сидит на 127 ип и его ни как нельзя подобрать).
но убрать в текущем варианте работы чата отображение ни как нельзя. потому, что при отсылке сообщения используется МАК, ИП, ник. а теперь представь что тебе надо отослать сообщение человеку у которого ип такой же как у 10 других? а как будет работать игнор лист? а как ты переписываясь узнаешь что это не его сосед подделал ник? ты попробуй поэтапно задумайся над этим. и все поймешь.