Jump to content
  • Announcements

    • Xmat

      Pravidlo pro postování v TTT

      Do sekce Tipy, triky, tutoriály nepatří žádné dotazy.   Postujte sem vaše návody, tipy a různé další věci jež uznáte za vhodné sdělit zdejšímu osazenstvu, ale veškeré dotazy směřujte do sekce Všeobecná diskuse.
    • Replik

      Seznam návodů a důležitých témat v této sekci

      Pro lepší přehlednost jsem vytvořil tento seznam, který vás, méně zkušené, lépe provede touto sekcí. Věřím, že zde najdete, co hledáte. Vypsané jsou návody, které jsou oficiálně uznané jako návody. Běžné diskuze, které neposkytují postupy a rady zvěřejněny nejsou.   Instalace vlastního MaNGOS Serveru Díky těmto návodům budete (měli by jste být) schopni vytvořit a následně spustit váš vlastní server. Nastavení je pro verze s i bez datadisku.   Instalace MaNGOS Serveru (bez datadisku TBC) - Autor Benny Instalace MaNGOS Serveru (s datadiskem TBC) - Autor Malfik Instalace MaNGOS Serveru v prostředí Linux - Autor charlie Instalace MaNGOS Serveru v prostředí Linux - Autor kupkoid   Chyby a jejich řešení při přihlašování k serveru - Autor Cybe   Zálohování uživatelských dat   Dávkový soubor (BAT soubor) pro vytvoření SQL záloh - Autor Replik   Kompilování - tvoření vlastních release (revizí)   Tvorba kompilací pro Win32 (MangoScript) - Autor bLuma   Ostatní - těžko zařaditelné, ale neznamená to, že nejsou dobré   VIP Systém - Autor charlie Tvorba Webových stránek pro MaNGOS - Autor zahuba Tvorba teleportačních NPC (MangoScript) - Autor Replik Registrační web (původně předělaná SPORA) Funkční pro Antrix i MaNGOS - Autor Replik Nastavení a spuštění Minimanager pro MaNGOS - Autor BlackMartin Nastavení MaNGOS Website - Autor Artorius   Samozřejmě jsou zde i jiné návody, ale tyto jsou nejvíce používané, proto věřím, že vám budou nápomocné. Tuto sekci budeme upravovat podle potřeby. Pokud by jste něco nenašli nebo si nevěděli rady, hledejte na fóru a teprve potom založte vlastní topik. Pokud nějaký autor vytvoří kvalitní návod a chtěl by ho zveřejnit i v tomto seznamu, doporučuji, aby mi napsal zprávu skrze PM.   Díky a přeji hezký den na WoWResource   Replik
    • Aristo

      Příspěvky tam, kde nemají co dělat

      Dodržujte zákaz přispívání do topiků s repaky pokud si to zakladatelé nepřejí!! Opakované psaní příspěvků bude trestáno warnem.
    • Aristo

      Používání spoilerů

      Poslední dobou má většina uživatelů fora zvláštní nutkání postovat extrémně dlouhé texty nebo kódy, které zabírají v nejedenom případu i 80% obsahu celé stránky a hodně tak zvedají nepřehlednost v topiku. Chtěl bych všechny uživatele požádat, aby při postování citací, jakýchkoliv kódů, errorů, atp... delších než 30 řádků používali funkci spoileru.   Funkci vyvoláte příkazem [spoiler] text [/spoiler]   Ukázka:  
NO.small

Deprecated / RBAC Adminer / TC / v.1.0

Recommended Posts

A přesně takto se likviduje konkurence.

 

Myslet si může každý co chce, a místo toho přiblblého výkřiku do tmy by jsi sem mohl napsal jak tu APPku použít bezpečně.. Například:

 

a) Stačí si vytvořit časově omezený přístup do AUTH DB, řekněme že potřebuji udělat úpravy/nastavení a tak si prostě vytvořím nového mysql usera (kterého po dokončení úprav smáznu) a nastavím mu přístup do AUTH a klidně ještě ten přístup omezím na následující tabulky:

READ ONLY: account >> SELECT id, username, email FROM account

WRITE: rbac_account_groups, rbac_account_permissions, rbac_account_roles, rbac_groups, rbac_group_roles, rbac_permissions, rbac_roles, rbac_role_permissions, rbac_security_level_groups

 

Jediný kritický bod je přístup do tabulky account ale jak vidíš i tam to můžeš omezit na ten jednoduchý select s přístupem do těch tří sloupečků nikam jinam to nesahá..

 

B) Zcela zablokuj přístup do tabulky account a ponechcej přístup jen do tabulek rbac_, adminer bude i nadále fungovat jen si nebudeš moci přidávat uživatele do skupin. Nicméně můžeš spravovat skupiny role atd.. a o to tu přece jde ne ?

 

c) Vytvoř si zcela novou AUTH DB nahraj tam základ od TC vše si vesele upravuj a po skončení si práci zálohuj a AUTH DB i s přístupem do MySQL smázni ..

 

Myslím že toto je jen základ, takových možností bude více. Avšak pokud mi někdo nevěří adminer použít nemusí :-)

Tento Adminer má usnadnit práci s RBAC a přimět lidi, aby RBAC začali používat a ne aby se snažili jej dostat z TC

 

PS: jinak ten dodatek tam byl přesně kvůli tobě

 

PPS: Pokud může někdo poskytnout testovací přístup byla by to paráda. Stačí mít veřejný MySQL Server, vytvořit zcela novou DB nahrát do ní poslední AuthDB.sql z TC a hodit sem na fórko přístupy, pro test to zcela postačí.

Edited by NO.small
  • Upvote 1

Share this post


Link to post
Share on other sites

Tohle hlavně vyžauje oteřenej otevřenej port 3306 do světa a to je hodně velká security issue. Omezit uživatele samozřejmě můžeš ale nikdo to neudělá a i tak ti dá databázi účtů a samozřejmě full access k serveru (přes hru)... Což se dá taky krásně zneužít (rozesílání spamu, smazání všech charakterů, vypnutí serveru, ...).

 

Fakt promiň ale když zveřejníš aplikaci, kde nacpeš celou hromadu nebezpečnejch údajů a ty dopředu řekneš, že to zůstane jen u tebe a uzavřené... To žádnej dodatek nezachrání, spíš si tam měl dát varování "použitím na ostré databázi dáváte autortovi automaticky plný přístup k serveru".

 

Mimochodem... Jakej je důvod pro neuveřejnení zdrojáků? Dát push na github není až tolik práce. Dvě kliknutí a hned vyřešíš všechny pochybnosti.

Edited by Tomáš Kolinger

Share this post


Link to post
Share on other sites

Výborná appka pro week projekty jako je Copenhagenuv :D

 

Popravdě který lepší server bude používat online appku od někoho cizího pokuď neběží na jeho serveru? Navíc větší nebo "lepší" servery by si jí měli zařídit samy.

 

 

V neposlední řadě souhlasím s Kolingerem, bezpečnost jde do pytle na odpadky.

Share this post


Link to post
Share on other sites

Vážení kritici, pokud se vám moje návrhy (na bezpečné použití) zdají být až moc nebezpečné tak tu appku nepoužívejte .. Jak jsem napsal kdyby taková služba byla, když jsem ji potřeboval tak bych ji určitě použil. A to tak, abych neohrozil bezpečnost mého serveru !!! Jde to!

 

Jak tu někdo napsal člověk, který se v RBAC systému vyzná tuto appku ani nepotřebuje a tak ji ani nemusí použít, ale někdo kdo si jen testuje a hraje ji může vesele použít a využít všech klikacích zjednodušení.

 

@TomasKolinger

1) "řekneš, že to zůstane jen u tebe a uzavřené" hovadina, nauč se číst..

2) "Omezit uživatele samozřejmě můžeš ale nikdo to neudělá a i tak ti dá databázi účtů a samozřejmě full access k serveru" pokud se toho bojíš použij variantu c)

3) #1 "Jakej je důvod pro neuveřejnení zdrojáků?" opět se nauč číst vše je v úvodním postu a nebo v postu druhém.

4) #2 "Jakej je důvod pro neuveřejnení zdrojáků?" Myslím si, že zdejší komunita "rýpalů" si to nezaslouží a dokud aplikace nebude na 100% hotová publikovat ji určitě nebudu.

5) Pokud zdejším adminům připadá appka nebezpečná můžou se se mnou nějakým způsobem domluvit na kontrole kódu, případně to mohou celé smazat a vyřešeno podruhé to postovat nebudu.

6) Pokud tuhle appku dokáže někdo přepsat/napsat tak to klíďo udělejte a samozřejmě to hoďte na git. TC to jistě ocení.

Edited by NO.small

Share this post


Link to post
Share on other sites

1) Mluvím o současnosti, zda se to v budoucnu změní není podstatné, protože mezitím ti tam lidi budou sypat přístupy.

2) Já se ničeho nebojí, jen opozorňuji, že i přes tvoje "bezpečnostní opatření" není uživatel v bezpečí.

3, 4) Já si to přečetl ale důvod jsem nenašel. To že aplikace není hotová není důvod k neuveřejnění ale naopak. Vývoj a odladění bude rychlejší, když na to bude koukat více očí. Pokud si to komunita nezaslouží, tak potom nechápu proč to sem vůbec dáváš.

5) To je zbytečný krok, kdyby si chtěl aplikaci zneužít, tak tohle opatření lehce obejdeš - nebudeš přece posílat na kontrolu aplikaci s backdoorem :)

6) Tím chceš říct, že to nikdo nedokáže? Nechápu tuhle přípomínku... Proč by to měl někdo psát znovu, když už si to napsal...

 

Každopádně tvůj přístup je hodně podívný. Děláš něco pro komunitu, to je moc fajn ale na druhou stranu ututláváš zdrojáky a to je u podobný aplikace naprosto nesmyslný, jen házíš uživatelům klacky pod nohy a tím aplikaci znehodnocuješ.

 

Snad ti dojde o co mi jde a jestli ne, tak hodně štěstí :).

Share this post


Link to post
Share on other sites

Designovo to vyzerá pekne, skoro fully AJAXed, ale ako to tu už bolo spomenuté - toto samozrejme nebude nikto s vyšším projektom riskovať. Stačím, že sa poisťuješ vetou Používání je na vlastní nebezpečí, takže v prípade škody máme poistku. Je to ako keby si sa pokúšal urobiť globálny UserCP pre všetky typy servera, kde stačí iba aby admin nastavil parametre servera (mysql údaje), potom ho uložil pod určitým menom a následne sa môžu návštevníci toho servera prihlasovať. Už len to, zachytiť si čokoľvek treba a problém vyriešený.

 

Ako to už písal Kolinger, vyzerá to podozrivo a ako sa aj hovorí, nesúď knihu podľa obalu (v tomto prípade to vyzerá nádherne a dôvod na to s tým pracovať), no, ale čo sa ukrýva pod kapotou nie je nikomu verejné. Teda, už to, že by administrátori odovzdávali tretej osobe citlivé informácie a nevedeli, ako sa s tými informáciami zaobchádza. Najčastejšie, čo sa tu už s pár ľuďmi stalo je, využitie AUTH DB (áno stačí len read access) na e-mail spam, alebo predaj mailov do určitej firmy na reklamy.

Share this post


Link to post
Share on other sites

// UPDATE // Demo přístup

 

Zrušeno:

Demo přístup:

Host: sql4.freemysqlhosting.net

Database name: sql419353

Database user: sql419353

Database password: nW1%xN4%

Port number: 3306

 

Pokud DB nějaký "šprýmař" smázne je potřeba nahrát následující SQL:

https://gist.github....nosmall/6771402

Edited by NO.small

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×