Вход • Регистрация

Администраторы не могут аутентифицироваться на фронтэнде

  • 31 августа 2016 г.
  • В админку входят без проблем. При попытке аутентифицироваться на страницах сайта - "Неверный логин или пароль.", потом блокировка аккаунта

    Стал разбираться и действительно, администраторам просто явно запрещается аутентификация. users.inc.php:270 строка :
    ... AND u.role_id NOT IN(".implode(',', $admin_role_ids).")" ...

    Это какое-то идеалогическое веяние и так и задумано bydesign или я чего-то недопонимаю/что-то глючит?
  • 31 августа 2016 г.
  • В целях защиты от взлома аккаунта администратора, было введено такое ограничение.
  • 31 августа 2016 г.
  • Цитата
    Это какое-то идеалогическое веяние

    А Вы подумайте сами, логически. Для чего, по-Вашему можно изменить адрес панели управления site.ru/admin/ на какой-нибудь site.ru/super-papka-44-Fg/? Наверное, для того, чтобы злоумышленники не могли её найти и начать брутфорсить пароль администратора. По этой же причине папка админа site.ru/super-papka-44-Fg/ отдает в хедерах 404 - чтобы её не проиндексировали поисковики, мало ли, где-то ссылку кто-то перекинет другу.
    Ну и? Спрятали Вы папку входа в админку. А толку-то, если админ может залогиниться из фронтэнда? А база пользователей единая.
    Безусловно, надо не пускать любого пользователя, у которого есть хоть малейшие полномочия администрировать сайт ни откуда, кроме как из секретного адреса админки. А из фронтэнда только обычные пользователи.
  • 31 августа 2016 г.
  • рекомендую вам переодически думать, логически, в частности о том как объяснять заказчице что это не она пароль вводит неправильно и потом у нее сайт весь блокируется, нифига не работает и тд и тп а это логические думатели придумали такую неотключаемую фичу, необходимость в которой реально испытывает незначительный процент пользователей
    • 31 августа 2016 г.
    • Чего-то я вообще не понял суть претензии. При чем тут "фича" и заказчица, которая почему-то с паролем адинистратора тыкается во фронт-энд?
      Скорее всего, это проблема исполнителя, который не сдал заказчице нормально сайт. Чего проще отдать заказчице пароль от админки и сказать "Вот пароль, вот адрес админки, вот тут вводить". И не будет тогда заказчица тыкаться во фронтэнд.
      Я, конечно, понимаю, во многих других ЦМС плевать, куда вводить пароль админа, но там и админка жесткая, по единому всем известному адресу. В DIAFAN.CMS разница есть, мы думаем о безопасности.
      Это как человек пересевший со старенькой Волги в Мерседес возмущается, почему он как обычно не пристегивается, а в салоне раздражающее ПИМ-ПИМ-ПИМ, чё за херня, машина бракованная что ли? Так пристегнись, ёпта! За тебя же переживают!
      Цитата
      необходимость в которой реально испытывает незначительный процент пользователей
      Ага, ща! Не надо по себе судить о процентах всех пользователей. Это во-первых. Во-вторых, не надо путать необходимость со стороны пользователей и просто необходимость. Пользователям даешь волю, они делают по адресу site.ru/admin/ доступ по admin:admin или admin:123 и им плевать. А потом "Ой, сайт конкуренты взломали, Диафан плохой!" - оно нам надо?
  • 01 сентября 2016 г.
  • Цитата
    Ага, ща! Не надо по себе судить ... не надо путать необходимость со стороны пользователей и просто необходимость

    а "просто необходимость" это что -такое? есть мнение что все оносительно. что то что для одного в его ситуации "просто необходимость" - для другого в его ситуации - совершенно ненужный геморой. А что это такое объективно "на самом деле" - может определить только некий абсолют, которого принято именовать Богом. Делая заявления о "просто необходимости", примеряете на себя Его его шапку и как бы не оказалась велика эта ноша

    Цитата
    При чем тут "фича" и заказчица, которая почему-то с паролем адинистратора тыкается во фронт-энд

    ну тут все просто, наверное при том что в мире вебсайтов и вообще IT, аутентификационными данными принято именно туда "тыкать" и при том что "Админка" в частности создается и для того чтобы сайтом было удобно пользоваться

    Цитата
    чё за херня, машина бракованная что ли? Так пристегнись, ёпта! За тебя же переживают!

    "Ага, ща! ", мерседес блин, выкидывающий водителя пинком под зад из машины на полчаса, если заводит его не из под капота проводами прикрученными к стартеру, а пытается сделать это ключом из салона
    • 01 сентября 2016 г.
    • На мой взгля, правильно, что доступ админа можно получить с определенного адреса. Но если это не катит для Вас, так снимите ограничение. Или поразите клиента и сделайте аутентификацию по ключу. Вот клиент удивиться, что он зайдет без ввода пароля.
    • 01 сентября 2016 г.
    • Цитата
      мерседес блин, выкидывающий водителя пинком под зад из машины на полчаса, если заводит его не из под капота проводами прикрученными к стартеру, а пытается сделать это ключом из салона
      Война аллегорий? Так нет, хрен, неверное сравнение! Водитель ключ не в замок зажигания сует, а в магнитолу, в USB дырку...
  • 01 сентября 2016 г.
  • ЗЫ. темы бы возможно бы не возникло еслиб эта "фича" была где-то внятно описана. Мне описания найти не удалось, возможно искал плохо.
    Просто был поставлен перед фактом проблемы. Ситуация усугубилась тем что для аутентификации написал когда-то модуль для uLogin и пользовался им и просто не подозревал что такая проблема вообще существует. А "юзеры" пользовались аутентификацией на сайте и как выяснилось испытывали постоянные проблемы с блокировкой/аутентификацией
    • 01 сентября 2016 г.
    • У Вас, как партнера diafan, есть доступ в лк к логам обновлений. Там это все пишится. Плюс эта тема поднималась сравнительно недавно.
    • 01 сентября 2016 г.
    • Цитата
      еслиб эта "фича" была где-то внятно описана

      http://www.diafan.ru/dokument/full-manual/sysmodules/users/#Polzovateli
      Цитата
      Администратор не может удалить, заблокировать самого себя или изменить себе права доступа. Пользователь с правами администратора может авторизоваться на сайте только по секретному адресу панели управления сайтом.

      Достаточно внятно?
      • 02 сентября 2016 г.
      • Да ладно, неправду говорите! Все кто вхож в админку (пусть у него доступ лишь к новостям), уже не может авторизоваться с паблика...
        • 02 сентября 2016 г.
        • С той же страницы, двумя экранами ниже, где речь про права доступа:
          Цитата
          Пользователи с любыми правами доступа в административную часть сайта могут авторизоваться на сайте только по секретному адресу панели управления сайтом.
  • 02 сентября 2016 г.
  • не с одним, даже с самым наитупейшим клиентом (владельцем сайта, менеджерами, контентниками) таких проблем не возникло ни разу - всем даётся адрес и пароль и ни кто во фронтэнд не лезет! Объясняем коротко - вход в админку только так...
    • 02 сентября 2016 г.
    • У меня проблемы лишь со "старыми" клиентами. Новым показал админку, и как Анатолий выше. У них все норм.

Новости

  • Вчера, 09:47
  • В преддверии 2025 года была выпущена сборка 7.2.5, которая не приносит радикальных изменений в функциональности, но способствует повышению стабильности работы системы и расширению возможностей облачного сервиса для создания сайтов.
  • 18 июня 2024 г.
  • В сборке большое обновление demo-шаблона, дополнительная защита от спама, улучшение YML-импорта и еще много важного и интересного.
  • 24 апреля 2024 г.
  • В новой сборке совершили революцию в структурировании кастомизированной информации в шаблонах, добавили авторегистрацию пользователей, усовершенствовали защиту от спама, актуализировали накопительную скидку, а также улучшили производительность и стабильность работы системы.