• Страница 2 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Безопасность и политика настроек групп пользователей
Безопасность и политика настроек групп пользователей
Онгар
Сообщений: 32
Репутация: 133

Сообщение # 16 | 03:07:01
Quote (e-chas)
Можно ли убрать функцию "смотреть сайт как"?

Можно....
Quote (e-chas)
то получается пользователь рангом ниже админа может спокойно включить себе права админа через админ бар?

Нет, пользователь рангом ниже админа не сможет пользоваться всем тем, чем может пользоваться администратор...

Напрасно обучение без мысли, опасна мысль без обучения. © Китайская поговорка
e-chas
Сообщений: 30
Репутация: 0

Сообщение # 17 | 13:33:55
Quote (Онгар)
Нет, пользователь рангом ниже админа не сможет пользоваться всем тем, чем может пользоваться администратор...


Странно, дело в том, что у этого пользователя есть доступ к админ бару, где он может смотреть сайт как администратор, и обладать всеми функциями админа, которые доступны из админ бара. Мне нужно чтобы доступ у этого пользователя к админ бару был, но не было доступа к функции "смотреть сайт как" или вообще меню "пользователи" в админ баре.

Здесь на форуме нашла инструкцию, как это сделать, вот из нее выдержка:

Ещё один совет по поводу того, как убрать не нужные кнопки с полоски админ-бара (для тех кому нужно допустим от модераторов скрыть кнопку управления дизайном (запретить в правах группы это одно, а убрать кнопку полностью, это другое, зачем она будет глаза мозолить если редактировать дизайн и так нельзя?)). Каждая "кнопочка" на полоске админ-бара имеет id = admBarP1, admBarP2, admBarP3 и так далее. Допустим, как уже говорилось выше, нам нужно скрыть пункт управления дизайном от модераторов, смотрим исходный код админ-бара, "дизайн" имеет id="admBarP3", в шаблоне каждой страницы в head пишем:

<?if($GROUP_ID$="3")?> <style> #admBarP3 {display:none;} </style> <?endif?>

сохраняем, заходим на сайт как модератор - вкладки "Дизайн" не видим, дело сделано.


Делаю все, как написано, но ничего не происходит.
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 18 | 13:43:02
Вообще то лучше из DOM выносить тогда:
Code
$('#admBarP3').remove()

Нормальный модератор со средством разработчика найдет свой пункт и вернет обратно.

И код нужно не явно в страницу вписывать а засовывать в файл.

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 19 | 15:29:19
Онгар,
Quote
Нет, пользователь рангом ниже админа не сможет пользоваться всем тем, чем может пользоваться администратор.
вы не правы. может через функцию смотреть как...
mob_dp2,
Quote
И код нужно не явно в страницу вписывать а засовывать в файл.
простой файл не будет работать на странице. по-любому нужно писать код для работы файла. а код можно удалить. и тогда это снова будет просто файл
e-chas, вот именно из-за этой функции смотреть как... я вас и спрашивала откуда взялся оптимизатор. именно из-за доступа к админ-бару и к коду

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
e-chas
Сообщений: 30
Репутация: 0

Сообщение # 20 | 15:41:40
Quote (webanet)
e-chas, вот именно из-за этой функции смотреть как... я вас и спрашивала откуда взялся оптимизатор. именно из-за доступа к админ-бару и к коду


делаю вывод из ваших слов, что с этой функцией ничего сделать нельзя. Я понимаю, что он, имея доступ к управлению шаблонами, может запросто убрать код, который бы закрывал функцию "смотреть сайт как" или меню "пользователи", но я это легко увижу, а вот то, что он сможет, как админ, допустим, управлять заказами, мне не нравится. Оптимизатор знакомый, но доверять в наше время на 100% никому нельзя.
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 21 | 15:47:41
e-chas,
Quote
а вот то, что он сможет, как админ, допустим, управлять заказами, мне не нравится.
он может попасть в файловый менеджер и производить там операции, а вот это совсем неприятно может быть

Quote
делаю вывод из ваших слов, что с этой функцией ничего сделать нельзя.
очень даже можно. есть один выход, но он будет работать на 100%. на время пока ваш оптимизатор оптимизирует просто отредактируйте права групп администратор, модератор и всех у кого есть доступ. но это крайняя мера, но на 100% действенная. только так можно обойти это недоразумение "смотреть как..."
остальное всё - это просто костыли, которые довольно легко обнаружить и убрать, а потом поставить обратно если надо
если вы доверяете человеку, то пусть делает и не нужно крайних мер smile

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 22 | 15:49:42
Quote (webanet)
простой файл не будет работать на странице. по-любому нужно писать код для работы файла. а код можно удалить. и тогда это снова будет просто файл

Не-а.
Зайдите ко мне на http://wowbug.info/ и посмотрите.
Есть структура-конфигуратор wowbug, которая в себе содержит значения переменных, а в дальнейшем и десятки функций.
Завалите структуру или ее кусок - все перестанет работать, завалите библоитеки функций - то же самое - все рухнет.
По-хорошему можно еще и в CSS навоять так что без этих файлов страница будет совсем не читабельной, но это лишнее.

В любом случае, расправится с моим способом в десятки раз тяжелее чем с тупой вставкой условия и стилей.

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 23 | 15:58:29
mob_dp2, в данном случае мы говорим о проблемах пользователя e-chas, а не о вашем сайте. может быть обойти ваши костыли будет действительно сложнее чем простые и очевидные способы. но повторюсь ещё раз. это костыли.
безопасность всегда настраивалась и настраивается по простейшей схеме - от высшего к низшему и все неполадки или недоразумения всегда должны срабатывать на понижение прав. тут же мы имеем место наблюдать феномен, где есть срабатывание прав от низшего к высшему. то есть обход некоторых ограничений заявленными настройкой прав
и то, что вы сваяли у себя на сайте не способно передаться на все другие сайты системы, а проблема есть на всех сайтах. и многие пользователи повторить вашу структуру не смогут. вот в чем беда

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 24 | 16:05:27
Quote (webanet)
и то, что вы сваяли у себя на сайте не способно передаться на все другие сайты системы, а проблема есть на всех сайтах. и многие пользователи повторить вашу структуру не смогут. вот в чем беда

Ее передавать на все сайты системы и не нужно.
Я только показал как можно сделать, и человек с головой и минимальными знаниями javascript без проблем сделает аналог (тем более что я структуру-конфигуратор давал пару раз в исходном варианте - мне не жалко).

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
webanet
Сообщений: 24067
Репутация: 4985

Сообщение # 25 | 16:32:31
mob_dp2,
Quote
и человек с головой и минимальными знаниями javascript
а я больше верю настройкам безопасности и прав групп серверной стороны, а не слепленных на клиентской части
все равно костыль. и все равно не каждый пользователь способен. особенно новички, которым чаще всего и требуется предоставление безопасного доступа для настроек.
вы часто обращались к сторонним ваятелям за помощью в настройках своих сайтов с предоставлением доступа? не часто? а вот новички или непрофессионалы часто обращаются и им не под силу минимальные знания для ваяния таких связок. а вот когда будет по силам, то им функция уже не будет нужна

ТУТ можно оставить своё мнение по любому вопросу
https://webanetlabs.net/
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 26 | 16:44:50
Quote (webanet)
а я больше верю настройкам безопасности и прав групп серверной стороны, а не слепленных на клиентской части

Я в курсе про настройки и говорю об общем методе защиты, который не огриничивается админ-баром в принципе.
Есть множество случаев когда системных настроек нет и приходится ваять.

Тем у кого нету знаний на "ваять" - тупо вырубать лишние права и все, без вариантов.
Нормально защититься и отследить все равно не смогут.

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
e-chas
Сообщений: 30
Репутация: 0

Сообщение # 27 | 19:27:42
Quote (webanet)
очень даже можно. есть один выход, но он будет работать на 100%. на время пока ваш оптимизатор оптимизирует просто отредактируйте права групп администратор, модератор и всех у кого есть доступ. но это крайняя мера, но на 100% действенная. только так можно обойти это недоразумение "смотреть как..."


Спасибо большое за ответ. Так и сделаю. Отключу администратору (сама себе) определенные права, когда они понадобятся мне, буду включать.

Quote (mob_dp2)
Ее передавать на все сайты системы и не нужно.
Я только показал как можно сделать, и человек с головой и минимальными знаниями javascript без проблем сделает аналог (тем более что я структуру-конфигуратор давал пару раз в исходном варианте - мне не жалко).


голова вроде есть, а вот знаний по javascript и html не хватает, иначе зачем бы я нанимала человека на оптимизацию сайта? smile
deniska1981
Сообщений: 1
Репутация: 0

Сообщение # 28 | 17:50:17
Здравствуйте,подскажите пожалуйста,возможно ли убрать вообще регистрацию пользователей,т.е чтобы все могли заходить на сайт и пользоваться всеми функциями модераторов,пользователей?
Если да то как?
И еще один вопрос,хотел поставить галочку для гостей сайта ,чтобы они не вводили код безопасности или каптчу,не активна эта функция,с чем это связано?
За ранее спасибо.
olegsuv
Сообщений: 1365
Репутация: 127

Сообщение # 29 | 18:35:03
deniska1981, включить PHP и поставить авторизацию через логинзу.
И сразу кидать в группу с необходимым правами (минимум id=2)

Любые работы по:
- Javascript, jQuery, HTML, CSS
- Верстке макетов и установке их на сайты
- Нестандартным решениям
Arclayd
Сообщений: 18
Репутация: 3

Сообщение # 30 | 23:26:29
Добрый вечер, подскажите, а как снять код безопасности при изменении репы на сайте группе пользователи? И стоит ли это делать, просто поступило такое предложение, заранее спасибо)

Добавлено (14-Июн-2012, 23:17:24)
---------------------------------------------
А, похоже разобрался, это пункт "Изменять репутацию не зависимо от тайм-аута".

Добавлено (14-Июн-2012, 23:26:29)
---------------------------------------------
А, нет, не угадал)

Посему вопрос остается открытым)


Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Безопасность и политика настроек групп пользователей
  • Страница 2 из 5
  • «
  • 1
  • 2
  • 3
  • 4
  • 5
  • »
Поиск: