Problemy na forum - SECURITY....

[Sauron11]

Wczoraj i dziś wielu użytkowników zauważyło problemy z wysyłaniem wiadomości PM oraz edycją swego profilu, kiedy to przy próbie wysłania (send lub submit) otrzymywali ekran SECURITY coś tam.

Problem ten dotyczy całego forum i śpieszę zapewnić, że jest obecnie wyjaśniany przez admina (BurnIt!).

[Deady]

Dokladnie. Piszac do pewnego kolegi... i wpisujac w PM adres mailowy - to mi wyskoczylo. Gdy slowa "adres" w temacie nie uzylem - poszlo bez problemu

[RAFIO]

Egosoft ma shiza na punkcie zabezpieczeń. Jak każdy, tylko oni źle do tego podchodzą.

Bezprzerwy tylko dodają corazto nowe dziwactwa do phpbb, zamiast zabulić te głupie 250$ za komercyjną licencję Powerborda. Wtedy nie musieli by łatać tak forum, i oszczędzili by na infrastrukturze, bo ipb jest owiele wydajniejszy, i lepiej napisany od phpbb.

[Sauron11]

Wierzę, że znasz się na tym i owym, ale oni na pewno znają się lepiej.

[RAFIO]

Wierzę, że znasz się na tym i owym, ale oni na pewno znają się lepiej.

Niby czemu? Wielokrotnie już udowadniali, że niezbyt się znają.

Pozatym IPB jest komercyjny. Kolesie którzy za nim stoją, swego czasu stworzyli ikonboard. A skoro IPB jest gorszy od PhpBB2, to czemu Nasa postawiła na nim swoje forum (paręset tysięcy userów), A Nvidia?(to samo), a Sony? A Światowa organizacja zdrowia? A AMD? A Yahoo?

Odpowiem ci: Bo jest świetny. Pod każdym względem kolesie z IPS'u odstawiają swoją opensourcową konkurencję o lata świetlne. Oni zajmują się tym na prawdę i mają z tego naprawdę niezłą kasę, więc się przykłądają.

Jak myślisz, jakiej jakości może być skrypt, który jest pisany przez grupkę pasjonatów w wolnej chwili?

Nie znasz się na php, t ci podpowiem: kod phpbb2 pozornie jest uporządkowany. Gdy przyjżeć się z bliska, to poprostu bajzel.

Naszczęście Olympus (Nazwa kodowa phpbb3) wiele w tej kwestii zmienia, tyle że wciąż pozostaje na poziomie bety.

[koniczynka]

oczywiscie spor o wyzszosc swiat bozego narodzenia nad wielkanocnymi . Oczywiscie nie mam najmniejszego pojecia dlaczego egosoft wybiera to a nie co innego ale... Moze nimi kierowac wiele wzgledow np jak sam napisales: opensourcowy kod (tez lubie wspierac takie inicjatywy). Co do jakosci kodu to nie uwazam (generalizuje !!) iz kod stworzony przez zapalencow MUSI byc gorszy od kodu "profesjonalistow" . Znow generalizujac - prywatnie uwazam ze im szerszy zespol pracujacy nad dana sprawa tym lepiej, wiecej pomyslow wiecej mozliwosci napisania tego samego w inny sposob no i o wiele wieksze mozliwosci testowania. Wspomne tez o przejrzystosci (uczciwosci) rozwiazan bo jest o wiele mniejsza szansa ze w kodzie znajdzie sie to co przeczy polityce prywatnosci i demokracji [Microsoft ??! ]. Oczywiscie powody moga byc calkowicie inne (moze im sie "usmieszki" podobaja ? albo admini potrafia tylko na phpBB pracowac ? ) Dla mnie najwazniejsze jest to ze forum istnieje. Mozna dazyc do zmiany na IPS czy inny i fajnie ze my userzy mozemy to robic. Sadze ze jezeli nacisnelibysmy dostatecznie mocno tak by sie stalo, a skoro jest jak jest znaczy nacisk nie jest wystarczajacy albo argumenty za slabe .

[RAFIO]

Co do jakosci kodu to nie uwazam (generalizuje !!) iz kod stworzony przez zapalencow MUSI byc gorszy od kodu "profesjonalistow" . Znow generalizujac - prywatnie uwazam ze im szerszy zespol pracujacy nad dana sprawa tym lepiej, wiecej pomyslow wiecej mozliwosci napisania tego samego w inny sposob no i o wiele wieksze mozliwosci testowania.

Tyle że jak tych programistówq masz 40, a spójność kodu jest beznadziejna.

Jak wroce do domu, dopiszę ci wiecej

Edit:

Ciekawsza riposta: Zaogólniając w ten sposób można nawet przyjąć, że traktor to samolot, bo tak samo jak większość z samolotów ma silnik i koła.

Dlatego proponujęci przejśc do konkretów.

Fenk You

[koniczynka]

a ponoc Polski Lotnik to i na dzwiach od stodoly poleci ...... (a juz na pewno jak mu silnik do tego doczepia ). Dyskusja akademicka bo zaraz sie zaczniemu przezucac przykladami , a jak powiem ze sprawa tkwi w nadzorze i kontroli to znajdziesz kilka dowodow ze racji nie mam .
PS: Ciekawi mnie sytuacja w ilu powaznych projektach kozysta sie z asemblera - ponoc tam nie ma tego problemu

[RAFIO]

No i ponownie zamiast jakiś sensownych argumentów najzwyklej w świecie mącisz, "fruwasz wśród chmur", chociaż nie. Jedną tezę postawiłeś, niestety i tutaj żadnych argumentów nie dałeś:

"sprawa tkwi w nadzorze i kontroli"

Zatem z radością nie znajduję, tylko porostu ci wskazuję:

Który skrypt ma Dokładne systemy logów adminów, modów, useroów?
Nie phpbb2.

Który skrypt ma rozbudowany system uprawniń userów i for?
Nie phpbb2.

Który skrypt ma Dokładne systemy logów adminów, modów, useroów?
Nie phpbb2.

No coż, jest naprawdę wiele rzeczy, które są w innych skrptach, ale nie w phpbb2. I trzeba sie z tym pogodzić.

[BQB]

Cóż, skrypt, to tylko skrypt, wszystkiego nie zrobi

[koniczynka]

?
OK. Lubie chmurki i polatac w nich .

Który skrypt ma Dokładne systemy logów adminów, modów, useroów?
Nie phpbb2.

Co oznacza dokladne ?
Na phpbb2 nie pracuje juz jakies 1.5 roku ale z tego co mnie pamiec nie myli byla mozliwosc podgladu logowania i ostatnich zmian w stosunku do w/w (dla mnie w zupelnosci wystarczajaca do kontroli).

Który skrypt ma rozbudowany system uprawniń userów i for?
Nie phpbb2

rozbudowany ? hm, wedlug mnie phpbb2 posiada wystarczajaco rozbudowany. Moze malo zyje ale nie spotkalem sie z przypadkiem gdzie nie bylbym w stanie przypisac userowi uprawnien ktore chcialem lub byly mu potrzebne.

Nie twierdze ze pracowalem na golym phpbb2 tym nie mniej system byl jak dla mnie wystarczajaco elastyczny i wygodny. Oczywiscie iz nie jest idealny bo takie rzeczy nie istnieja w praktyce. Nie twierdze ze jest najlepszy czy ze w innych nie ma

... wiele rzeczy ...

. Twierdze natomiast ze dla mnie byl wystarczajacy, i podczas 2 letniej pracy na nim mialem zaledwie jeden przypadek wlamania zakonczonego sukcesem.
"sprawa tkwi w nadzorze i kontroli" - odnosilo sie do kontroli kodu programu i nadzorze w procesie decyzyjnym. Jak dla mnie nie istnieje mozliwosc stworzenia powiedzmy grup 8 osobowych zajmujacych sie dana czynnosci ktora bylaby zlozona z samych geniuszow zgadzajacych sie co do spojnosci kodu napisanego przez kogos innego. Tutaj wlasnie potrzebna jest osoba wiazaca i decydujaca co jest optymalne na poziomie podgrupy, i tak idzie do samej "gory" gdzie otrzymujemy produkt finalny. W firmie komercyjnej sprawa jest prosta bo utrzymuje sie zaleznosc sluzbowa pozwalajaca bezdyskusyjnie podjac decyzje osobie nadzorujacej. W projektach "free" jest to bardziej skomplikowane bo czlowiek to klotliwa bestia od startu przekonana ze to ona ma remedium na rozwiazanie.
Wracajac jednak do tematu. Prawda ze w phpBB2 nie ma wielu rzeczy i prawda ze trzeba sie z tym pogodzic (albo napisac sobie samemu ). Tym nie mniej jest to narzedzie uzyteczne i powiem ze jezeli chodzi o forum ego to z poziomu usera nie widze sensu w zmianie na cos innego (tym bardziej komercyjnego gdzie koszty i tak zostana przezucone na userow czyli na nas). Co do poziomu "admin" "mod" moga sie wypowiedziec bardziej kompetentnie Sau i BQB czy brakuje im narzedzi do sprawnego zarzadzania forum. Prywatnie nie sadze by im brakowalo . Dosc czesto zagladam i liczba postow pojawiajaca sie na polskim wycinku nie jest oszalamiajaca a do tego piszacych jest kilkunastu z ktorych zaden nie jest trollem .

[Sauron11]

Czuję się wywołanym do tablicy . Coż z punktu widzenia moderatora, nie brakuje mi żadnych narzędzi, co więcej, narzędzi jest nawet więcej niż potrzeba .

[BQB]

Mi również nie brakuje

[RAFIO]

?
Na phpbb2 nie pracuje juz jakies 1.5 roku ale z tego co mnie pamiec nie myli byla mozliwosc podgladu logowania i ostatnich zmian w stosunku do w/w (dla mnie w zupelnosci wystarczajaca do kontroli).

Logi to rejestr wszystkich akcji podjętych przez adminów i modów, a nie to co user aktualnie robi na forum.

A co jak któryś mod zablokuje jakiś topic, i niema nikogo kto sie przyzna? Bedziesz musiał zgadywać, a tak, wchodzisz w logi moderacji, masz moda, dokładną datę, i nazwę topicu. I to sie poprostu przydaje

?
rozbudowany ? hm, wedlug mnie phpbb2 posiada wystarczajaco rozbudowany. Moze malo zyje ale nie spotkalem sie z przypadkiem gdzie nie bylbym w stanie przypisac userowi uprawnien ktore chcialem lub byly mu potrzebne.

System uprawnień w phpbb2... właściwie nie istnieje. Jeśli dasz komuś uprawnienia admina, może robić wszystko, w tym takeover całego forum. Nie możesz go ograniczyć np. tylko do zarządzania userami.

Tak samo moderacja. Tą biedotę widać nawet na tym forum, gdzie modzi nie mogą banować sami, tylko muszą zgłaszać to do egosoftu. Działą to na zasadzie "umowy koleżeńskiej". W phpbb3 możesz ustawić modowi, aby ten mógł tylko wlepiać warny (których w phpbb2 brak, trzeba zainstalować hack ).

Natomiast z resztą się zgodzę. I dodam tylko, że egosoft planuje w poźniejszym czasie przejście na phpbb3.

Sau i BQB: Bo co do moderacji w phpbb2 brakuje chyba tylko systemu warnów. Wszystko to jest "notowane na kartce", a nie w systemie. W phpbb3 można już wlepić kolesiowi warna, ustallić, po ilu dniach ma zostać skasowane, podać powód warna. I on będzie widoczny dla usera, i modów/adminów.

Pozatym to wszystko robija się o administrowanie forum, nie jego moderację.

(A jeśli któryś chce sobie popatrzeć jak sie moderuje na phpbb3, to niech sie na pw zgłosi )

[Sauron11]

Tak samo moderacja. Tą biedotę widać nawet na tym forum, gdzie modzi nie mogą banować sami, tylko muszą zgłaszać to do egosoftu.

Hmm są różne sposoby na banowanie . Moderatorzy mają możliwość deaktywować konta użytkowników, usuwać je całkowicie, albo np. zmieniać im hasła dostępu na takie co sami wybiorą. Choć oczywiście nie używają tej Mocy .

[RAFIO]

To już nie jest banowanie

Pozatym, te opcje nie są dostępne dla moderatorów, lecz adminów

[Sauron11]

Są dostępne dla moderatorów. Egosoft ustalił, że moderatorzy dostają prawie wszystkie możliwości adminów w zakresie ingerencji w konta użytkowników, ale na zasadzie wzajemnego zaufania nie wykorzystują tych możliwości, tylko zwracają się w takiej sprawie do adminów.
Moderator może sobie oglądać profil dowolnego użytkownika tak jak go widzą sami użytkownicy, może zmieniać preferencje, modyfikować dane, usuwać avatary lub blokować ich wyświetlanie, blokować możliwość wysyłania PW itd.

[RAFIO]

Hehe, coraz wiecej sie dowiaduje o tym forum

[koniczynka]

Co do logow to przyznaje ze nie mialem takiego narzedzia bezposrednio dostepnego z menu administracji forum . Jezeli byla taka potrzeba to 3ba bylo w sqlu grzebac.

A co jak któryś mod zablokuje jakiś topic, i niema nikogo kto sie przyzna?

to jest zalezne od regulaminu forum i doboru zespolu administracyjnego. Przyklad. Kazda akcja jest jasno opisywana:
- jezeli Mod ingeruje w tresc postu umieszcza dopisek (inna czcionka zastrzezenie koloru.... ) w poscie bedacy informacja dla Autora ze swoim podpisem (np gdy tresc jest obrazliwa, zawiera wulgaryzmy itp.)
- jezeli ingeruje w topik umieszcza wlasny post lub wpisuje akcje w ostatnim (np przeniesienie topiku, rozdzielenie lub laczenie watkow) itd itp
Prawde powiedziawszy to trudno mi wyobrazic sobie sytuacje gdy nie ma odpowiedzialnego za jakas akcje czy ktos sie nie chce przyznac do do zablokowania topiku. Przeciez Mod i Admin tez ma obowiazki a jednym z podstawowych praw usera forum jest wiedziec co i dlaczego stalo sie z jego postem, topikiem czy ankieta.
Co do uprawnien to z tego co pamietam byla juz mozliwosc podzialu na modow, junior adminow itp kazdemu z nich mozna bylo przypisac mozliwosci moderacji danych for czy subfor, pisania newsow (przy podlaczeniu do stronki), czy zarzadzania galeriami obrazkow. hehe oczywiscie kazdy z nas mial zyczenia by mozna to bylo robic prosciej i wygodniej szybciej. Braki w narzedziach byly nadrabiane pomyslowoscia "umowami kolezenskimi", wewnetrznym regulaminem moderacji tworzeniem grup z dostepami do wewnetrznych subfor itp itd. Gole phpBB2 to faktycznie toporne narzedzie ale za pomoca hackow mozna bylo zrobic z tego male cudenko jak na tamte czasy (:) przeszle - stety lub niestety ) Wymagalo duzego zaangazowania i duzej ilosci pracy by chodzic w miare bez zgrzytow.

Jeśli dasz komuś uprawnienia admina, może robić wszystko, w tym takeover całego forum. Nie możesz go ograniczyć np. tylko do zarządzania userami.

Oczywiscie masz racje ze z uprawnieniami admina mozna zrobic wszystko ale przeciez wlasnie tak musi byc. Admin to najwyzsza osoba i OJCIEC fora. Wedle mojego wyobrazenie nie ma potrzeby go ograniczac. Jezeli chodzi o zarządzanie userami to prawde powiedziawszy nie potrafie sobie wyobrazic tak wielkiego fora lub takiej struktury organizacyjnej gdzie zmiany wymagaly by oddzielnej osoby tylko tym sie zajmujacej (moze zle zrozumialem zarzadzanie :/) i to o randze admina.
Odnosnie banowania to przyznam szczerze ze nie pamietam jak to bylo tak do konca ale cos mi sie kolacze ze jeden z hackow dawal mozliwosc moderatorom mozliwosc przyznawania warnow (wraz z opisem za co) i "okreznych"metod banowania.
Fajnie ze w phpBB3 bedzie o wiele wiecej mozliwosci administracji. Pewnie jak bede mial troche wiecej czasu to sam chetnie sie temu przyjze blizej. Bo musze przyznac ze zacheciles mnie do tego . Milo sie wspomina syrenke 105L ale wygodniej sie jezdzi Volvo VXX
PS: Sau - uzywaja Mocy o ile oczywiscie jest to uzasadnione bo przeciez zawsze znajdzie sie ktos kto przekroczy dozwolony wymiar avatara o 1pixel by "sprawdzic" czujnosc Moda lub zrobic psikus. Rety - znow nabazgralem posta tasiemca

[RAFIO]

Nie wiem czy to przez te "pro" zabezpieczenia ego, ale zauważyłem, że gdy wchodzę na dwa fora naraz, forum mnie wylogowywuje.

Czy ktoś z was ma jeszcze taki problem?