Новая тема   Ответить

 kit
Уважаемые пользователи форума, в связи с печально известными последними событиями на сайте master-x вводятся более жесткие правила безопасности учетных записей и модераторских полномочий.

1. При логине Вам будет предложено совершить привязку текущей сессии к Вашему IP. Эта опция включена по умолчанию. Отключайте ее только если Ваш IP постоянно изменяется, а Вы уверены в своей безопасности.

2. Привязка сессии к IP принудительно включается для всех пользователей, имеющих привелегированное положение: модераторов, смотрителей и администраторов.

3. В профиль пользователя ( https://www.master-x.com/profile/ ) добавлена таблица Ваших активных сессий. Вы можете посмотреть информацию о каждой из зарегистрированных на ваш аккаунт сессий (ip, время иннициации, время последнего обновления, включена ли привязка к IP).

4. Вы можете прервать любую из активных сессий, нажав на ссылку [stop] (будьте аккуратнее с перыванием текущей сессии).

5. При смене контактных данных, e-mail адреса или пароля теперь требуется указание текущего действующего пароля.

6. При логине происходит проверка на подбираемость Вашего пароля. В случае, если Ваш пароль слишком прост, Вам будет выводится предупреждение об этом при каждом входе в систему.

7. Все текущие открытые сессии принудительно привязаны к IP. При следующем логине Вы уже сможете выбирать уровень приватности.

Спасибо за внимание.


Я приношу всем зарегистрированным пользователям извинения в связи с теми неприятностями, которые происходили последние несколько дней. Сайту уже очень много лет, и периодически разные люди предпринимали попытки взломать или навредить нашему сайту. Эта атака одна из наиболее серьёзных за последнее время. Надеюсь на то, что предпринятые меры существенно затруднят вредоносные действия относительно МХ в будущем.

Спасибо за внимание.

Последний раз редактировалось: kit (20/10/06 в 10:42), всего редактировалось 1 раз

 kit
При каждом логине вы можете выбрать метод хранения сессии:

1) Если у вас постоянно меняется IP-адрес, можно не привязывать сессию к IP-адресу, и таким образом будет достигнут наибольший комфорт в работе, однако помните: если вашу куку украдут, ею смогут воспользоваться с другого компьютера.

2) Привязка сессии к IP-адресу, делает её воровство пости бесмысленным, так как злоумышленник должен заходить с того-же IP-адреса, с которого она была открыта.

 kit
За приватность данных об адресах получаетелей наших призов не полнуйтесь. Их в онлайне не существует и они периодически полностью удаляются.

 Dolphix
Отличная мера! Только что заходил в профиль и заметил это.
Теперь можно не волноваться, что уведут аккаунт на Мастере.
Кит, а когда сделаете личные сообщения? Это будет вообще красота

 SnowBars
У меня предложение ака просьба, а можно сделать так, чтоб можно было указать 2-3 IP с которых я логинюсь и их сделать "траст IP".
Я подключаюсь на мастер с 2-х IP и каждый раз логиниться....

 Hanzo
или можно указать подсеть ip?
у меня раз в неделю где-то меняется, но подсеть остаётся...

 pierx
+1
с одного компа залогиниться не смог, тк пров кеширует капчу и я ее ввести правильно не могу, тк вижу старую какую-нибудь
Вы бы к урл капчи какой-нибудь номер сессии привязали или случайное число. Каждый раз мучаюсь, грохать кеш каждый раз приходится , а пров - сукаааа.

 kit
SnowBars писал:
А это работает и сейчас. Можно иметь несколько сессий, каждая из которых будет соотвествовать тому IP с которого вы логинитесь. Фишка в том, что каждая конкретная сессия верна только для той машины , с которой она была открыта. С других IP-адресов она не будет работать.

 Sortunity
pierx писал:
Ваше пожелание выполнено.

 Kors
kit писал:
вот кстати по поводу кук я еще пару месяцев назад писал:
Security bug?
правда это относилось к смене пароля, но все равно странно что ни от кого из саппорта комментариев не было... и сейчас все так и осталось.

 Heavy
kit писал:
может у меня что-то не так настроено - т.к. я вхожу в сеть с двух постоянных IP - в итоге в профайле уже по 2 открытых сессии на каждый IP (можете глянуть мой профиль) - и каждый раз при входе на мастер с друго IP приходится логинится... хотя как я понял (поправьте если не прав) с каждого IP я должен был залогиниться только по одному разу - а потом входить автоматически по одной из двух сессий...
работаю из Opera 8.5.

 Kors
Heavy: по идее на 1 логин - 1 сессия, логично ведь? ;)

 SnowBars
Вчера тестил, с одного IP подключился, сессия создалась. Вечером подключался с другого IP, опять создал сессию. Но сегодня утром он опять создал сессию на 1-ом IP. Напрягает однако.

Я уже спрашивал, можно вбить 2-3 ip с которых я буду логиниться и чтоб меня каждый раз не просили угадать буквы?


З.Ы. Логинюсь с бука. Система и куки не меняются.

 Heavy
Kors писал:

было бы логично, если бы так и было - а сейчас 2 логина (точнее один логин с двух IP), а сессии растут после каждой смены IP!
т.е. получилось совсем не логично - нах мне остальные сессии - мне их убивать вручную в профайле или как? разрастутся ведь...

аналогично SnowBars логинюсь с одного и тогоже бука, только в двух разных сетках, переключаюсь не выключая броузер.

суть вопроса остается неизменной - как мне сделать автологин с двух моих IP!

 Cepera
сделать привязку с обоих айпи, сделано для того что б ни кто не мог украсть файл сессии твои и под тобой лазить без ввода пароля.

 SnowBars
Так сделать одну сессию, и при логине ввести 1-2 IP и привязка этой сессии будет к этим адресам.

 Achtwan
чо-та меня выкидывает порой. приходится заново логиниться.
раньше такого не было - заходил на мастер, автоматом логинясь.

 DZO
Отличные нововведения.

 Xen
Оффтопик: Нововведения ситемы безопасности

букву забыли

 pierx
Черт-те что - логинился раз 10 - все время писалось, что нихрена - то ли капчу 10 раз! неверное заполнял, пароль на мыло просил новый - копи паст делал. В общем плюнул - 2 дня не заходил. (галка привязать стояла)
Зашел с другой машины (с пост. IP) - все хоккей. Захожу в профиль - эти 10 сессий стоят открытыми (хотя меня не пускало!). Начал стоповать их, так вообще заметил 2 (может и больше) разных сессии привязанные к _одному_и_тому_же IP.

Вот теперь не знаю, буду ли мастер читать, если попасть на него практически не могу
Что-то надо сделать для динамических IP
Вечерком опять попробую, но чувствую что не выйдет

 kit
Для динамических IP не привязывай сессию к адресу. Будет чуть менее надёжно, но зато работать как прежде.

По проблеме: Может у тебя кешировал провайдер что-то? Один раз было с кем-то уже такое.

 SAV
отличные новшества

 Tapakah2001
Цитата: А разве для чтения надо логиниться? Вроде бы форум открытый был, нет?

 pierx
Залогиненным удобнее - и читанные-нечитанные отображаются, и превью постов есть