CommFort

Сам по себе чат замечательный! Лучше не видел.
Но обнаружился глюк с администрированием.

В системе администрирования есть огромная дыра.
Нет возможности введения пароля для модераторов и админов.
Любой клиент сети может запросто стать модератором, достаточно знать МАС адрес, и IP любого из модеров (они в чате отображаются). Подставить IP и подставить МАС адрес проблем нет. Именно это и произошло в нашей сети, в итоге чат в дауне, забанили всех клиентов.

не давай ни кому права админа чата.
пусть будут только модераторами.
админь чат с той же машины где установлен серв.
клиента подключи и соотвественно права дай на 127.0.0.1 под таких IP кроме тебя ни кто больше не сможет войти.
есть еще один баг более серьезный. но его обещали исправить.
кстати его в сервере 3.20 поправят?

wizard50

Да.

Dmitry

Неоднократно эта ситуация на форуме обсуждалась.

Общий смысл таков: текущая система авторизации очень удобна для пользователей, достаточно надежна в управляемых сетях и недостаточно надежна в неуправляемых. Авторизация по учетным записям менее удобна для пользователей, но более надежна. В версии 4 вопросам авторизации будет уделено серьезное внимание, будут поддерживаться разные типы, включая учетные записи.

wizard50 писал(а):не давай ни кому права админа чата.
пусть будут только модераторами.

Под модером как раз и пакостят...

Maxim Mirgorodsky писал(а):wizard50

Да.

Dmitry

Неоднократно эта ситуация на форуме обсуждалась.

Общий смысл таков: текущая система авторизации очень удобна для пользователей, достаточно надежна в управляемых сетях и недостаточно надежна в неуправляемых. Авторизация по учетным записям менее удобна для пользователей, но более надежна. В версии 4 вопросам авторизации будет уделено серьезное внимание, будут поддерживаться разные типы, включая учетные записи.

К сожалению сеть неуправляема...

Это уже выходит за тематику данного форума. Тем не менее. Начни с L2NG. Раздели сеть на сегменты. и так далее... на наге очень много полезного почерпнешь. в любом случае на не управляемой сети есть куча способов испортить жизнь серверу.

wizard50 писал(а):Это уже выходит за тематику данного форума. Тем не менее. Начни с L2NG. Раздели сеть на сегменты. и так далее... на наге очень много полезного почерпнешь. в любом случае на не управляемой сети есть куча способов испортить жизнь серверу.

Спасибо за совет!
Это не офисная и тем более не домашняя сеть.
Это vpn сеть одного из местных провайдеров "наложенная" на кабельное ТВ.

Dmitry точно такая же проблема(((

Dmitry писал(а):Сам по себе чат замечательный! Лучше не видел.
Но обнаружился глюк с администрированием.

В системе администрирования есть огромная дыра.
Нет возможности введения пароля для модераторов и админов.
Любой клиент сети может запросто стать модератором, достаточно знать МАС адрес, и IP любого из модеров (они в чате отображаются). Подставить IP и подставить МАС адрес проблем нет. Именно это и произошло в нашей сети, в итоге чат в дауне, забанили всех клиентов.

Ваще хрень, я это решил таким способом
1. Убрал всех модеров и админов
2. Разрешил админку только себе, а сервак стоит на моем ипе
3. Поставил антимат бот для тех случаев когда я не в чате

Кстати, по поводу вышеописанного. Столкнулись с проблемой. Тело поменяло мак-адрес сетевой карты на мак одного из модераторов, соответственно IP получен такой же как у модера по DHCP. После этого вошло в чат, когда модератора комп был выключен, под ником этого модератора, почистило список банов, вместо этого забанив всех существующих модераторов, после чего благополучно исчезло.

С этим нужно что-то делать. Выключение идентификации по маку создаёт ещё больше проблем, поскольку установить модераторский IP вручную, прописать его ник и шлюз ещё проще, чем поменять мак-адрес карты (поскольку там ещё нужно быть в сегменте модератора, чтобы получить по DHCP точно такой же IP как у оного).

Ещё раз попробую настоять (наверное меня просто не поняли в прошлый раз, посчитав моё пожелание слишком сложным для реализации) - было бы очень удобно, если бы мак-адрес и IP юзера показывался ТОЛЬКО модераторам. Т.е. система авторизации по макам и IP осталась как есть. Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам, т.е. они не могли бы их видеть (читать) на экране (скрытое поле), при этом обмен сообщениями происходил в таком же режиме как сейчас, используя IP или mac-адрес.

В текущем состоянии чат (а точней его админилка) для больших сетей НЕ ГОДИТСЯ. Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему? Осталось скомуниздить пароль (что для многих особо труда не представляет) и потом картина называется - "Бери и юзай чужой инет гигабайтами".

Niggaz - все это понятно и обсуждалось много раз.

Но давай еще раз по порядку:

Какой серьёзный админ допустит, когда соответствие мака к IP публично показывается каждому желающему

делай пуск выполнить "arp -a". ты увидишь все соответствия, если там нет IP который тебе нужен и он в твоем сегменте, то делай PING IP и затем снова делай команду arp. скрыть это не возможно и чат тут не причем. поставь вайпрес чат (да и почти любой другой) там тоже есть отображение мака и IP. поставь netview или любую другу программу для просмотра компов в сети и ты увидишь это.

для больших сетей НЕ ГОДИТСЯ

в больших сетях как раз это абсолютно все равно, так как там идет привязка IP+mac на порт коммутатора.

Но вместе с тем мак-адрес и IP юзеров просто не показывались бы обычным юзерам

да я готов согласиться, что лишний инструмент не нужен. но только потому, что это провоцирует подбирать адреса модератора (админ у меня сидит на 127 ип и его ни как нельзя подобрать).
но убрать в текущем варианте работы чата отображение ни как нельзя. потому, что при отсылке сообщения используется МАК, ИП, ник. а теперь представь что тебе надо отослать сообщение человеку у которого ип такой же как у 10 других? а как будет работать игнор лист? а как ты переписываясь узнаешь что это не его сосед подделал ник? ты попробуй поэтапно задумайся над этим. и все поймешь.