Как сделать так чтобы запретить админам использовать куки, а только сессию, ну или по крайней мере где это можно настроить?
(вариант защиты от XSS - чтобы не воровали куки админов).

И еще как можно сделать такую тему с обязательной сменой пароля юзеру (как в винде) через определенное время, и чтобы если он не изменил, то не мог бы зайти на форум?

Quote:

Originally Posted by inxaoc

И еще как можно сделать такую тему с обязательной сменой пароля юзеру (как в винде) через определенное время, и чтобы если он не изменил, то не мог бы зайти на форум?

админка - группы пользователей - Управление группами пользователей

Для каждой группы устанавливаешь Срок устаревания пароля (Если вы укажете здесь количество дней, пользователям придется менять свои пароли через Х дней)

Quote:

Originally Posted by inxaoc

Как сделать так чтобы запретить админам использовать куки, а только сессию, ну или по крайней мере где это можно настроить?
(вариант защиты от XSS - чтобы не воровали куки админов).

гг.
Отключи в браузере куки. Или добавь свой форум в блек лист для создания куков. Нафига сложности то.

Quote:

Quote:

Нафига сложности то.

И все таки, вопрос так и повис в воздухе, как это сделать в булке и возможно ли вообще?

inxaoc,
ты хоть сам соображаешь чего ты хочешь, и нах тебе это надо? Я тебе ответил. Ты - админ. Отключи у себя куки в браузере и не используй их. И потри существующий. Ты хорошо себе представляешь что такое КСС и как оно работает?

добавлено через 2 минуты
Если ты привык искать сложные пути и делать все через одно место, то можно перелопатить скрипт залогинивания и сделать так, чтобы у админов куки не создавались. Стандартными средствами - нет.

Вот кстати,у ченджлогах вбуллетиня видал, что они предложили некую мульку для предотвращения XSS включить в php5 и ее включили.
Вопрос : Чо это такое и как работает?

добавлено через 45 минут
includes/functions_login.php

if (!verify_authentication($vbulletin->GPC['vb_login_username'], $vbulletin->GPC['vb_login_password'], $vbulletin->GPC['vb_login_md5password'], $vbulletin->GPC['vb_login_md5password_utf'], $vbulletin->GPC['cookieuser'], true))

что характерно, кто-то об этом уже думал, но почему-то в коде вбита константа true ?
В общем сюда нужно вставить проверку userid и передавать последним аргументом false.
в конфиге обычно прописывают undeletable users вот их и взять.
Хука я что-то не вижу..

Quote:

ты хоть сам соображаешь чего ты хочешь, и нах тебе это надо? Я тебе ответил. Ты - админ. Отключи у себя куки в браузере и не используй их. И потри существующий. Ты хорошо себе представляешь что такое КСС и как оно работает?

Извини. Поправь меня если я не прав. Есть куки, которые отсылаются клиенту, и которые можно перехватить с помощью КСС. Но сессия - это не куки, это возможность передавать от странице к странице различные данные, а не только айдишник в адресной строке (PHPID=....), которые как куки не сохраняются на компе клиента (по крайней мере для web-приложений на java). ПОэтому сессия более защищенный механизм, чем куки....

добавлено через 2 минуты
И еще. Форум же должен работать для тех, у кого куки отключены, значит на форуме предусмотрена возможность выбора, использовать куки, или сессию.

Не только я админ. Да и не могу я везде отключать куки из-за одного форума. Они мне часто нужны. Зачем же топором рубить, там где можно скальпелем

Quote:

Originally Posted by inxaoc

Извини. Поправь меня если я не прав. Есть куки, которые отсылаются клиенту, и которые можно перехватить с помощью КСС.

Перехватываются они не тогда когда отсылаются, а тогда когда ты заходишь на страницу "инфицированную" КСС. Следовательно если у тебя кук от форума вообще нету (они отключены) то и перехватить их нельзя. Нечего перехватывать просто.

Quote:

Originally Posted by inxaoc

Но сессия - это не куки, это возможность передавать от странице к странице различные данные, а не только айдишник в адресной строке (PHPID=....), которые как куки не сохраняются на компе клиента (по крайней мере для web-приложений на java). ПОэтому сессия более защищенный механизм, чем куки....

Вот именно. И если ты, как админ, отключишь в своем браузере использование кукисов (только для СВОЕГО форума) то находиться авторизованным на сайте ты будешь только с помощью сессий, и никаких куков у тебя не будет, и спереть то чего нет - нельзя. Разумеется придется при каждом визите залогиниваться на форуме (а чего ты хотел без использования куков) но любые КСС в твою сторону будут совершенно бессмысленны. Помоему это хоть и самый глупый, но в тоже время самый просто вариант защиты от КСС.

добавлено через 2 минуты

Quote:

Originally Posted by inxaoc

Не только я админ. Да и не могу я везде отключать куки из-за одного форума. Они мне часто нужны. Зачем же топором рубить, там где можно скальпелем

читай выше - если мне память не изменяет и в ИЕ и в ФФ можно запретить куки для конкретного домена - yoursite.ru

Quote:

Originally Posted by inxaoc

И еще. Форум же должен работать для тех, у кого куки отключены, значит на форуме предусмотрена возможность выбора, использовать куки, или сессию.

Кстати говоря, начерта искать сложности. Просто не ставь при залогинивание галочку рядом со словом "запомнить" - по логике, куки при этом создавать не будут - и опять же таки КСС не пройдет (не уверен только что сессионные куки при том создаваться не будут)

Quote:

Кстати говоря, начерта искать сложности. Просто не ставь при залогинивание галочку рядом со словом "запомнить" - по логике, куки при этом создавать не будут - и опять же таки КСС не пройдет (не уверен только что сессионные куки при том создаваться не будут)

Если ты не будешь ставить галочку и войдешь, а потом выйдешь, форум тебе скажет, что куки очищены, так что куки есть...

Quote:

Originally Posted by inxaoc

Если ты не будешь ставить галочку и войдешь, а потом выйдешь, форум тебе скажет, что куки очищены, так что куки есть...

Мде...
Ещё один упертый баран считающий што его никто не любит и он никому не нужен...