Шифрование паролей (Encrypt Passwords)
Дополнительная защита при авторизации и других действиях с паролями в phpBB3
-
- Администратор
- Сообщения: 1073
- Зарегистрирован: 22.08.13 09:05
- Благодарил (а): 133 раза
- Поблагодарили: 264 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
В стандартном phpBB3 все вводимые пользователями пароли отправляются на сервер в виде обычного текста, и при определённых условиях могут быть перехвачены в канале "Браузер пользователя --> Конечный Сервер". Этот мод добавляет дополнительную защиту паролей в виде их шифрования перед отправкой на сервер с помощью устойчивого ко взлому алгоритма RSA. Таким образом, даже если произойдёт перехват пароля в канале между браузером пользователя и конечным сервером, злоумышленник не сможет узнать пароль, потому что не сможет его расшифровать.
Мод находится в стадии бета-тестирования и требует дальнейшей проверки на устойчивость работы, поэтому будем признательны вам за тесты. Хотя лично я в процессе проверки никаких отклонений не обнаружил.
Более детальную информацию можно прочитать в теме о разработке мода: Шифрование паролей в передаваемых формах
Скачать МОД: В архиве находится инструкция в формате MODX, плюс русские и английские пояснения к установке (язык выбирается с помощью формы "Select language" в правом верхнем углу инструкции). Может ставиться вручную, либо с помощью Automod.
Мод находится в стадии бета-тестирования и требует дальнейшей проверки на устойчивость работы, поэтому будем признательны вам за тесты. Хотя лично я в процессе проверки никаких отклонений не обнаружил.
Более детальную информацию можно прочитать в теме о разработке мода: Шифрование паролей в передаваемых формах
Скачать МОД: В архиве находится инструкция в формате MODX, плюс русские и английские пояснения к установке (язык выбирается с помощью формы "Select language" в правом верхнем углу инструкции). Может ставиться вручную, либо с помощью Automod.
Мои моды и расширения для phpBB
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
-
- Сообщения: 22
- Зарегистрирован: 04.12.13 16:55
- Благодарил (а): 13 раз
- Поблагодарили: 3 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
Приветствую, установил данный мод, через некоторое время в дебаге вылезли вот такие ошибки:
В основном от ботов и от гостей.Файл ошибки один и тот же только на разных страницах.
Код: Выделить всё
Файл: [ROOT]/includes/hooks/hook_encrypt_passwords.php
Строка: 34
Код: Выделить всё
[PHP Warning]
require_once(./includes/encrypt_passwords/phpseclib/Crypt/RSA.php) [require-once-function.require-once]: failed to open stream: No such file or directory
-
- Администратор
- Сообщения: 1073
- Зарегистрирован: 22.08.13 09:05
- Благодарил (а): 133 раза
- Поблагодарили: 264 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
Данная ошибка означает, что требуемый для работы мода файл не найден. Проверьте наличие файла includes/encrypt_passwords/phpseclib/Crypt/RSA.php по указанному адресу. Если файл присутствует, попробуйте сделать следующее:
Найти в hook_encrypt_passwords.php:
Заменить на:
Далее заменить все вхождения
Не проверялось.
Найти в hook_encrypt_passwords.php:
Код: Выделить всё
global $template, $db;
Код: Выделить всё
global $template, $db, $phpbb_root_path;
$path
на $phpbb_root_path
и очистить кешНе проверялось.
Мои моды и расширения для phpBB
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
-
- Сообщения: 22
- Зарегистрирован: 04.12.13 16:55
- Благодарил (а): 13 раз
- Поблагодарили: 3 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
Да, это все сделал - ничего не изменилось.
Забыл еще сказать, что сейчас ошибка только в одном файле на стр.
А когда входишь на главную
Забыл еще сказать, что сейчас ошибка только в одном файле на стр.
Код: Выделить всё
Страница: gallery/index.php
Файл: [ROOT]/includes/hooks/hook_encrypt_passwords.php
Строка: 34
gallery/index.php
белая страница и светится вот такая ошибка
Код: Выделить всё
Fatal error: require_once() [function.require]: Failed opening required './includes/encrypt_passwords/phpseclib/Crypt/RSA.php' (include_path='.:/opt/php5.3/lib/php') in /home/m/maco8024/forum.vgorahaltaya.ru/public_html/includes/hooks/hook_encrypt_passwords.php on line 34
- c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
maco8024, это из-за галереи, у неё текущий путь отличается от корневого phpbb. В выходные поправлю.
Чтобы сейчас не лезла ошибка, в файле hook_encrypt_passwords.php найдите:и добавьте ПОСЛЕ проверку:Это отключит мод для всех случаев, когда не тот путь...
Чтобы сейчас не лезла ошибка, в файле hook_encrypt_passwords.php найдите:
Код: Выделить всё
$path = defined('ADMIN_START') ? './../' : './';
Код: Выделить всё
if(!file_exists($path . 'includes/encrypt_passwords/phpseclib/Crypt/RSA.php')) return;
-
- Сообщения: 22
- Зарегистрирован: 04.12.13 16:55
- Благодарил (а): 13 раз
- Поблагодарили: 3 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
c61
Воот! теперь все ок, применил правки от Shredder
и от вас .
Воот! теперь все ок, применил правки от Shredder
и от вас .
-
- Администратор
- Сообщения: 1073
- Зарегистрирован: 22.08.13 09:05
- Благодарил (а): 133 раза
- Поблагодарили: 264 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
А раньше в разных что ли была?maco8024 писал(а):сейчас ошибка только в одном файле на стр.
Спрашиваю, чтобы понять, понадобилась моя правка или нет. Если да, то это тоже нужно будет в моде исправить.
Мои моды и расширения для phpBB
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
-
- Сообщения: 22
- Зарегистрирован: 04.12.13 16:55
- Благодарил (а): 13 раз
- Поблагодарили: 3 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
У меня стоял ненужный мод "липовой админки" (его удалил уже), в нем была ошибка и в галереи - больше ошибок небыло.Shredder писал(а):А раньше в разных что ли была?
Что б ясней, приложу сюда файл
hook_encrypt_passwords.php
там все правки - ошибок больше - нет.
Спасибо! - c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
Думаю, достаточно той правки, что приводил. А насчет $phpbb_root_path - могут быть всякие приколы, когда путь к скрипту не совпадает с путём к "штатным" скриптам конференции. Кроме того, в галерее нет работы с паролями, и шифрование не требуется. Хук заточен конкретно под админку и скрипты из корня, моды учитывать не стоит, имхо.
- c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
Выпущена версия 1.0.3. Изменения:
Тема там же http://c61.no-ip.org/forum/viewtopic.php?f=11&t=58
- обновлена библиотека phpseclib
- добавлена возможность выдачи отладочной информации о времени выполнения
- добавлена возможность использования ключей 512 бит
- небольшие улучшения по части безопасности
Тема там же http://c61.no-ip.org/forum/viewtopic.php?f=11&t=58
- c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
Выпущена версия 1.0.4. Исправления в инструкции установки: были ошибочно заменены нав трёх местах.
Код: Выделить всё
1)
Код: Выделить всё
[b]1)[/b]
-
- Администратор
- Сообщения: 1073
- Зарегистрирован: 22.08.13 09:05
- Благодарил (а): 133 раза
- Поблагодарили: 264 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
Потестировал новую версию мода, никаких отклонений мной замечено не было. Архив в первом сообщении обновил.
Добавлено спустя 16 минут 35 секунд:
Поставил сюда новую версию, и у меня тоже случился fatal error
Надо всё-таки как-то продумать, чтобы подключалось во всех случаях, либо наоборот - не подключалось, если не может найти файл. Мне больше нравится первый вариант)
Добавлено спустя 25 минут 11 секунд:
Также был обнаружен странный баг с отображением отладочной информации: вопреки описанию мода, она отображается даже при выключенном DEBUG в config.php Посмотрел в код, но так и не понял, в чём дело. Если вынести проверку
Добавлено спустя 16 минут 35 секунд:
Поставил сюда новую версию, и у меня тоже случился fatal error
Надо всё-таки как-то продумать, чтобы подключалось во всех случаях, либо наоборот - не подключалось, если не может найти файл. Мне больше нравится первый вариант)
Добавлено спустя 25 минут 11 секунд:
Также был обнаружен странный баг с отображением отладочной информации: вопреки описанию мода, она отображается даже при выключенном DEBUG в config.php Посмотрел в код, но так и не понял, в чём дело. Если вынести проверку
if (isset($template->_rootref['DEBUG_OUTPUT']))
за пределы функции do_encrypt_passwords_debug
- всё работает как положено. Если оставить внутри - нет. Похоже на какой-то очередной баг системы хуков phpBB.Мои моды и расширения для phpBB
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
- c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
По-простому можно так:Shredder писал(а):...у меня тоже случился fatal error
Код: Выделить всё
$path = defined('ADMIN_START') ? './../' : './';
// Поиск phpseclib
if (!file_exists($path . 'includes/encrypt_passwords/phpseclib/Crypt/RSA.php')) return;
$encrypt_passwords = new ENCRYPT_PASSWORDS();
// Генерируем пару ключей RSA
include_once($path . 'includes/encrypt_passwords/phpseclib/Crypt/RSA.php');
Хотя есть возможность вычислить абсолютный путь.
Похоже на особенности вложений классов в php... Непонятно.Shredder писал(а):....был обнаружен странный баг с отображением отладочной информации...
Похоже на какой-то очередной баг системы хуков phpBB
-
- Администратор
- Сообщения: 1073
- Зарегистрирован: 22.08.13 09:05
- Благодарил (а): 133 раза
- Поблагодарили: 264 раза
- Контактная информация:
Шифрование паролей (Encrypt Passwords)
Обнаружил следующую проблему при установленном моде "Prime Quick Login", который добавляет форму входа в верхней части форума на все страницы: при вводе учётных данных в любую из нижележащих форм для входа, невозможно зарегистрироваться или войти на форум.
Мои моды и расширения для phpBB
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
Выполняю работы по phpBB3 на заказ. Пишите в личку или на почту.
Бесплатная поддержка - только в темах.
- c61
- Разработчик модов
- Сообщения: 249
- Зарегистрирован: 24.08.13 16:46
- Благодарил (а): 20 раз
- Поблагодарили: 62 раза
Шифрование паролей (Encrypt Passwords)
Эта бяка у меня во всех хуках)) Вместо проверки на define('DEBUG') проверяю $template->_rootref['DEBUG_OUTPUT'], который всегда определён))Shredder писал(а):странный баг с отображением отладочной информации
Однако, несколько форм с вводом пароля не предполагал... Доделал.Shredder писал(а):Обнаружил следующую проблему при установленном моде "Prime Quick Login"...
Выпущена версия 1.0.5. Изменения:
- Исправлена ошибка с возможным fatal error, если не обнаружен файл RSA.php
- Исправлена ошибка с выдачей отладочной информации
- Исправлена несовместимость с модом Prime Quick Login и наличием на странице нескольких форм с вводом пароля (ограничение мода: не более 4 тэгов input с тиопм password на странице)