Seite 2 von 2
Verfasst: 07.12.2003 21:28
von AWSW
IMHO eine schöne Idee @schumi
Eine Sache ist mir dazu noch eingefallen:
Wenn man in der admin/admin_ug_auth.php noch nach...
//
// Make admin a user (if already admin) ... ignore if you're trying
// to change yourself from an admin to user!
//
if ( $userdata['user_id'] != $user_id )
{
... den gleichen Code noch mal anfügt:
if ( $user_id == '2' && $userdata['user_id'] != '2' )
{
message_die(GENERAL_MESSAGE, $lang['Not_admin'] );
}
kann man IMHO auch noch verhindern, dass ein anderer Admin den Hauptadmin (UserID=2) zum normalen User degradiert
Verfasst: 07.12.2003 21:43
von oxpus
Ich habe den Block auch noch nach
und
sowie nach
Code: Alles auswählen
else if( !isset( $HTTP_POST_VARS['submit'] ) && $mode != 'save' && !isset( $HTTP_POST_VARS['avatargallery'] ) && !isset( $HTTP_POST_VARS['submitavatar'] ) && !isset( $HTTP_POST_VARS['cancelavatar'] ) )
{
eingefügt, um ganz sicher zu sein, dass kein anderer User auch nur die kleinste Kleinigkeit am Administrator-Profil ändern und das in die Datenbank schreiben kann. Also weder Passwort, Email-Adresse, Avatar oder die restlichen Angaben.
Somit kann nur der User 2 selber sein Profil ändern und der Admin-Zugang ist immer gewährleistet.
OXPUS
Verfasst: 07.12.2003 23:15
von garfield1909
danke
ich freue mich sehr das ihr mir geholfen habt
bei phpbb2.de habe ich nach ein paar tagen noch immer keine antwort gehabt, danke an alle
ciao
garfield1909
ps: so ist das sicher ein toller security mod!!! (wäre dessen wert)
Verfasst: 10.12.2003 00:36
von Der-Wolf
Hi,
ich habe die obenen beschriebenen Sachen umgeändert und musste mit schrecken feststellen, dass heute 2 User (einer hat sich gerade neuangemeldet) Adminrechte haben. Der neu angemeldete User hatte alle !!! Adminreche. Wie kann sowas passieren.
Ich habe Junior Admin 2.05 installiert und die oben veränderten Dateien eben.
Zum Glück hat mich der neue User sofort angeschrieben. Könnt ihr euch das erlären?
Verfasst: 10.12.2003 14:22
von Acid
Hast du eventuell noch andere Hacks, die die usercp_register.php ändern, eingebaut ? Wenn dort bei der sql-Anweisung was falsch eingefügt wird, kann sowas passieren.
Verfasst: 10.12.2003 17:44
von AWSW
Hallo,
ich kenne das nur vom Birthday MOD... Wenn man den falsch einbaut, dann wird jeder zum Admin - steht auch von dem Autor Niels so in der Anleitung...
Verfasst: 10.12.2003 22:55
von AWSW
Ich hab mir mal erlaubt daraus einen MOD zu basteln:
http://www.phpbb.de/viewtopic.php?t=42396 Dabei habe ich festgestellt, dass es offenbar ausreicht jeder der beiden oben schon erwähnten Dateien nur an einer Stelle zu modifizieren, damit das klappt
Verfasst: 10.12.2003 23:04
von Der Wolf
Hi,
hmm, meines Wissens habe ich an der usercp_register.php nix geändert. Den Birthday Mod habe ich auch nicht installiert.
Der User der mich darauf aufmerksam gemacht hat, sagte mir, das er Admin in einem anderem phpbb Forum ist, wo er sich mit dem gleichen Namen / Passwort anmeldet.
Kann es am Cookie liegen, der sowas speichert und beim nächsten phpbb.de Board denkt, das er auch Adminrechte hat (wie auch immer das gehen mag)??
Verfasst: 11.12.2003 18:38
von garfield1909
habe es getestet und bestätige, dass bei mir keine admin rechte vergeben werden
der mod fkt super ohne problem bzw fehler
ciao
garfield1909
danke das er zum mod wurde
Verfasst: 11.12.2003 20:27
von Der Wolf
Ich konnte den Fehler ja auch nicht reproduzieren. Das ist ja das komische. Ich habe selbst mehrer neue User angemeldet und ein paar Freunde von mir auch. Alles klappte einwandfrei, ohne das sie Adminrechte hatten.
Kann es wie oben beschrieben am Cookie liegen?
Ich hatte voher im ACP die Cookie einstellungen mit den Standardwerten. Habe es jetzt (wie hier im Forum mal beschrieben wurde) etwas angepasst. Hoffe das dort der Fehler lag.