O segredo do Painel de Controle - Bizur do Robson
ShiftActif fórum :: Central ShiftActif :: :: Tutoriais
Página 1 de 1 • Compartilhe
O segredo do Painel de Controle - Bizur do Robson
Painel de Controle |
As páginas com maior número de tráfego é a do Painel de Controle do Administrador do fórum em Forumeiros, isso é certeza pelo simples fato da maioria dos administradores mudarem freneticamente o layout de seus fóruns ou as funções que o serviço fornece.
O maior problema aparece quando é questionado sobre a segurança do seu painel de controle. Você já pensou nisso?
Seu Painel de Controle tem a segurança implacável, sua estrutura é compreensível pela parte de fora, mas pela parte de dentro, abriga várias função ocultas que você não vê. Um delas, a permissão da visualizações de funções entre CO-ADMINISTRADORES e FUNDADORES.
Acesso limitados? |
A estrutura do Painel de controle é formado desta maneira:
Ela é vista pela fundador assim:Exemplo escreveu:<?php
session_start();
include("database.php");
?>
<?php
if($_SESSION["admin"]=="on"){ ?>
<div class="coins-bottom">
<div class="left-bottom"></div>
<img src="https://2img.net/i/fa/admin/icones/bottom-right-blanc.png" align="right"></div><br clear="all" /><br />
<div class="coins-top"><div class="left-top">
<img src="https://2img.net/i/fa/admin/icones/small_ico/type_li.png" align="absmiddle"> Configuração</div>
<img src="https://2img.net/i/fa/admin/icones/top-right-gris.png" align="right" class="corner-right"></div
><br clear="all" /><div class="coins-border">
<div class="submenu"><a href="#" ><span>Endereço do fórum</span></a></div>
</div>
<?php } ?>
De qualquer forma, o que impede os CO-ADMINISTRADORES de verem esse pequeno trecho para mudar o endereço do fórum, é o código PHP if($_SESSION7BB92B]admin"]=="on"){ .
Para todo caso, todo código PHP em uma página que tenha sua extensão .php tem o seu código oculto. Ou seja, todo código que estiver por debaixo dos panos do PHP, não é visto no código fonte, como no exemplo citado acima.
Tirando a prova |
Além de bloquear o código fonte, isso permite que administradores secundários acessem as ferramentas do fundador e venham a mudar o URL do seu fórum, templates, créditos, configurações do rodapé e outros.
A famosa desconhecida |
Afinal de contas, o que é TID mesmo A tid é responsável por gerir o cookie que será armazenado em seu computador por alguns minutos, cedendo a oportunidade de você não se perder no painel de controle enquanto acessa. Geralmente, os cookies enviados do painel de controle duram menos de 10 minutos para quem gosta de ficar na página principal do painel do administrador. Quando o tempo da sessão é finalizado, o cookie é excluído e automaticamente outro é criado para substituir o antigo, fazendo com que você volte para a página principal do Painel de Controle.
Não, porque os cookies só vencem depois de um tempo que a sessão é finalizada. Não entendeu? Vamos compreender de outra forma. Imagine você acessando uma página na internet, que seja de um banco. Acima do site, há escrito A sessão expira em 1 minuto, isso quer dizer que se em um minuto você não fizer nada, você perderá os dados que foram arquivados no seu cookie. A página será direcionada para o início, onde você vai ganhar outro cookie, e novamente os minutos estarão correndo.Zezinho escreveu:Mas... Se for assim então, quer dizer que mesmo ainda modificando as coisas no Painel, eu posso perder esse cookie e ser enviado para a página principal?
Já ficamos mais de meia hora no painel de controle e nada ocorreu... Isso não é mentira
Como explicado em outro tema que abri - O que são cookies? -, determinadas páginas podem enviar a quantidade de cookies para o computador, tendo ela a duração de uma hora, duas, três, um mês, três meses, um ano, um século e assim por diante. Logo, algumas páginas tem a duração de sessão (cookies) maior do que outras. Será por causa da vulnerabilidade? Não sei...
O conforto das TID's facilitam isso, porém, o rumor temático e polêmico que é possível acessar o Painel de Controle do fundador através de uma TID é totalmente mentira. Mentira mesmo!! Quer fazer a prova?
Testando a DEMO |
Agora, com o navegador padrão acesse seu Painel de Controle e copie toda a sua TID:
Ao fazer isso, abra o navegador extra e como URL, adicione o endereço do seu fórum + a TID, ficando mais ou menos assim:
Sua TID é tid=13a37044053aef96a2c24942b21d3535. Ao fazer isso, deixe-a aberta por vários minutos em um determinado lugar. Exemplo, nas opções do JavaScript. Depois de quase meia hora por exemplo, acesse a aba Visualizações e note bem a sua TID. Veja que ela foi modificada para outros números e letras...http//urldoseuforum.forumeiros.com/admin/index.forum?part=admin&tid=13a37044053aef96a2c24942b21d3535
Isso é verdade mesmo, ou não funcionou com você ? Caso não tenha acontecido o mesmo, é só continuar no seu dia a dia observando esse detalhe e verá que a TID sempre muda para garantir a segurança do acesso direto pelo URL do painel.tid=bb106142a94adda2d50ba597868f89e2
De fato ao usar o endereço de URL do acesso ao seu Painel de Controle em outro navegador, eu não consigo acessá-lo de forma direta, porque ele me solicita Login e Senha.
FUNCIONOU!!! Ops Não funcionou.
Acesso direto pelo /admin/ |
Essa informação deliciosa tinha sido dada em nosso blog a tempo atrás - Mais segurança em Forumeiros - e não foi tão repercutido entre os administradores quanto a função do lightbox ou da função do JS que informa quando você tem novos amigos. Mesmo assim, tendo em vista a segurança principal, Forumeiros pensou em você novamente.
Quando você tiver algum problema no qual os usuários conseguiram burlar todo o seu "sisteminha" de login, você, através dos conhecimentos adiquiridos com o famoso não conhecido ROBSON (eu xD), vai acessar o seu painel de controle diretamente pelo seu:
DEMO:http://urldoforum.forumeiros.com/admin/
Admita, você tentou conectar...
Voltando... Com essa maneira, os troladores de página preta em fóruns cairão do cavalo pela segunda vez, depois de uma série de reclamações feitas aos técnicos por parte do apoio Português sobre isso. Agora, caso as páginas estejam fortemente bloqueadas pelo hacker, você tem essa pequena porta de entrada.
Essa é uma página estática e ninguém... NINGUÉM MESMO pode modificá-la, excerto os técnicos.
Se você não souber sua senha, dê uma olhadinha nos tópicos abaixo:
https://shift.forumactif.com/t660-
http://ajuda.forumeiros.com/t35565-
http://ajuda.forumeiros.com/t35484-
A maior dica de hoje após a sua leitura é: "Ninguém sabe o valor de algo que não é seu." Se você tem algo, só você sabe o quanto você teve que pagar para ter isso.
Até o próximo tópico .
Tópicos semelhantes
» [TUTORIAL] Substituindo Painel de Controle
» Meu aviso não sumiu do painel de controle
» Estatísticas como menu do painel de controle
» [TUTORIAL] Estatísticas como menu do painel de controle
» Novas caixas de Cores no Painel de Controle dos Fóruns !
» Meu aviso não sumiu do painel de controle
» Estatísticas como menu do painel de controle
» [TUTORIAL] Estatísticas como menu do painel de controle
» Novas caixas de Cores no Painel de Controle dos Fóruns !
ShiftActif fórum :: Central ShiftActif :: :: Tutoriais
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|