РЕГИСТРАЦИЯ
Гость
Вход не выполнен.

Обычный пользователь в админке

1 2 3

os-x

  • Участник
  • Посетитель
  • 14
  • 0
  • Жалоб нет
  • Регистрация:
#1

Не знаю баг это или нет но вот заметил такую штуку
Если на сайте я выйду и зайду уже как обычный пользователь , но при этом оставаясь в админке то с админки меня не выкидывает и я там оказываюсь как обычный пользователь
как это влияет на безопасность не представляю , но думаю сообщить об этом должен


MAX555

  • O, Великий ретранслятор!
  • Посетитель
  • 389
  • 3
  • Жалоб нет
  • Регистрация:
#2
Цитата
Не знаю баг это или нет но вот заметил такую штукуЕсли на сайте я выйду и зайду уже как обычный пользователь , но при этом оставаясь в админке то с админки меня не выкидывает и я там оказываюсь как обычный пользователь
как это влияет на безопасность не представляю , но думаю сообщить об этом должен

Это специально сделали. Только не знаю зачем. Сделали бы как на юкоз да и всё. А то действительно не удобно редактировать некоторые мелочи. На сайт вход должен быть отдельным, и в админку тоже.  


http://tvmax.96.lt

MrBoriska

  • Мастер
  • Администратор
  • 285
  • 11
  • Жалоб нет
  • Регистрация:
#3
Цитата
На сайт вход должен быть отдельным, и в админку тоже. 

Это не правильно) У юкоза такой же вход в ПУ редактирования сайта как и у нас. Тоесть сначала ты заходишь на сайт через аккаунт, потом входишь в ПУ управления сайта. Сразу ссылка на вход в пу каждому гостю не выводится так же. У нас с юкозом одно отличие, у него можно войти в ПУ своим сайтом не только через сам сайт, но и через "Вебтоп" или как он называется... Ну и еще у нас можно настроить права доступа к разделам админки, а у юкоза нельзя.


MAX555

  • O, Великий ретранслятор!
  • Посетитель
  • 389
  • 3
  • Жалоб нет
  • Регистрация:
#4
Цитата
Это не правильно) У юкоза такой же вход в ПУ редактирования сайта как и у нас.

Нет. Там без входа на сайт можно войти в ПУ сайта. сайт.х/ADMIN логин и пароль как и при в ходе на сайт. На сам сайт не обязательно входить. В Atom-X так же. Зачем Вы переделали? 


http://tvmax.96.lt

MrBoriska

  • Мастер
  • Администратор
  • 285
  • 11
  • Жалоб нет
  • Регистрация:
#5
Цитата
Зачем Вы переделали?

Это не безопасно. Нельзя так просто открывать всем подряд форму для входа в панель администратора. Есть один вариант обезопасить админ панель с псевдо-открытым доступом... это если делать не подбираемый адрес админ-панели, например не /admin/ , а какой-нибудь /g6d9N95_3f-dh36/ . Во многих CMS этот способ используется. Мы не сочли необходимым делать так. Наш метод менее безопасен чем неподбираемый адрес, зато решает проблему с тоннами "умников", решивших почувствовать себя хакерами, и открывших с пол тычка "какую-то секретную форму для входа") И каждый попробует туда что-нибудь ввести, а возможно и не один раз. А теперь представьте сайты с большим потоком пользователей и сколько там будет таких умников и заметьте, ведь рано или поздно кто-то угадает... Не говоря уже о том, что можно поднять ботнет сеть с кучей разных айпишнегов и делать перебор пароля через них, у нас, к сожалению, нет защиты от такого приема, хоть и есть вполне простая методика противоборства такой атаке. Зато у нас закрыт доступ к этой панели для всех, кто не имеет прав входа в админку. 

Про Atom-X и безопасность... Лучше даже не говорить. Там дыр по самые гланды и лазеек... И это не пустые слова, это слова от человека который большинство из них знает и даже юзал на реальном примере... Система большая, даже слишком я бы сказал... и многое написано собственными силами(например шаблонизатор, ORM, Query Bilder) это все приходится поддерживать. Одному человеку это не под силу(у AtomX это так было, а сейчас вообще 0 человек...). Мы же в AtomM развиваемся в ту сторону, чтобы постепенно сделать всю систему настолько модульной(под модулями тут я имею ввиду не только модули, что лежат в папке modules, но и каждую логически отдельную часть системы), чтобы каждый модуль можно было бы беспроблемно поменять и на остальные части системы это не повлияло. Основная причина новых ошибок: сменили что-то где-то, а потом нужно по всей системе искать корни... забыть какой-нибудь хвост пустяковое дело. Каждый раз с этим сталкиваемся. Повторюсь, система огромна и создавалась в расчете, что не станет такой огромной, поэтому зависимостей очень много... Вон, далеко ходить не надо, два месяца назад хотели сменить Query Bilder с самописного на один из популярных и хорошо отработанных вариантов. Начали анализировать объем работы - офигели. Чтобы его сменить, нужно написать заново каждый запрос к базе данных в системе... Их у нас даже не сотня, а больше раза в два... Пришлось отложить идею в долгий ящик.  И это у нас, в AtomX все много хуже, у нас уже проделан большой объем работы в этом направлении, а там даже не начинался - концепции разные.


MAX555

  • O, Великий ретранслятор!
  • Посетитель
  • 389
  • 3
  • Жалоб нет
  • Регистрация:
#6
Цитата
Это не безопасно.

Ну в таком случае есть другой вариант. Я его вроде где-то у вас когда-то даже и писал. Сделать Возможность с места админа просматривать сайт как простой пользователь или гость, ну или кто-там ещё есть. На юкозе такая хрень есть. 


Отредактировано автором в
http://tvmax.96.lt

modos189

  • Мастер
  • Администратор
  • 206
  • 6
  • Жалоб нет
  • Регистрация:
#7

Достаточно открыть приватную вкладку в браузере и можно заходить под любым пользователем


MAX555

  • O, Великий ретранслятор!
  • Посетитель
  • 389
  • 3
  • Жалоб нет
  • Регистрация:
#8
Цитата
Достаточно открыть приватную вкладку в браузере и можно заходить под любым пользователем

И кому надо эта возня? 


http://tvmax.96.lt

modos189

  • Мастер
  • Администратор
  • 206
  • 6
  • Жалоб нет
  • Регистрация:
#9

Ну это удобнее, чем авторизоваться под админом, заходить в админку, выходить на сайте, авторизоваться как пользователь и как-то пытаться оставаться и там, и там.)

Безусловно, было бы лучше иметь возможность выбора группы, под которой просматривается сайт, но вот такая возможность не реализована.


MAX555

  • O, Великий ретранслятор!
  • Посетитель
  • 389
  • 3
  • Жалоб нет
  • Регистрация:
#10
Цитата
Ну это удобнее, чем авторизоваться под админом, заходить в админку, выходить на сайте, авторизоваться как пользователь и как-то пытаться оставаться и там, и там.)

 Не так Вы меня поняли. Администратору сделать возможность просматривать страницу любой группы пользователя не выходя из аккаунта администратора. как на юкозе. Вот как здесь:   

Прикрепленные файлы:
У вас нет прав для скачивания прикрепленных файлов
http://tvmax.96.lt
1 2 3
Тема закрыта