CS:Bans - замена AmxBans

BlagoYar, быть может вы укажите ссылку до install.php через свой сайт,а не через пример?

BlagoYar,
Ссылка на инсталлятор, должны быть такой:
https://Ваш домен/site/install.html
или
https://Ваш домен/каталог в котором находится CS:Bans/site/install.html


Каталога site у вас и не будет. Этот адрес создает и разбирает url менеджер Yii. :)
site - Контроллер
install - Экшен контроллера
.html - Префикс


Потому что это первоисточник и инструкция работает. =)
CS:Bans (Craft-Soft:Bans), написан Craft-Soft Team, onotole их представитель на данном форуме. =)

BlagoYar, site - это не каталог, а контроллер SiteController или как то так он называется.

ZK413, если понадобится помощь в создании новых версий ксбанс, дизайн для них - обращайтесь, надо будет, запилю бесплатный.

Будет очень кстати. Учитывая, что на данный момент, физически не могу продолжать. Мой фуфик отжил свое
Я думаю на видео заметно, что мой ПК сильно тормозил.. Тормоза и фризы, это агония деграднувших кристалов...
Под конец, он был крайне сильно разогнан и уже в таком режиме проработал больше 5 лет: ЦП (8350) 4 GHz > 4.7 GHz (выше можно, но нет смысла), Мост 2.2 GHz > 3.1 GHz, GTX 780 Ti GPU 1.3 GHz и GDDR 2 GHz (SLI X2, буст +1%, заглушить его полностью не удалось) и т.д.
!!! Дома не экспериментировать, даже на мосту стоял водоблок, сожжете железо !!!
Какая то из цепей не выдержала и после небольшого "салюта", в живых остались, только ОЗУ и винты. SSD кстати тоже сдох. Вот тебе и приближение надежности к обычным винтам

Те бабосы которые были отложены на обновление, были "съедены", из за этой самоизоляции.
Сейчас тупо нет денег на новый ПК. Даже если собирать "постепенно", платформа на старте обойдется в 70-80к, при этом придется сильно переплатить, по мере замены комплектующих. Короче оно того не стоит. Так что придется подождать до конца сентября :(
Хочу собрать на базе GIGABYTE X570 AORUS XTREME + AMD Ryzen 9 3950X и дополнить GV-R57XTAORUS-8GD в крос Х2. Около 190-200к на старте, за то такого опять хватит лет на 8-9 :)

Так что продолжить смогу только после покупки ПК. Есть вариант отжать ноут у супруги.. Но i7 2-го поколения с 16Гб ОЗУ, это боль.. В общем посмотрим. Может придумаю что то по раньше.

Есть у кого актуальные контакты Onotole?

Если только телега, но и на почте отвечает.

У кого CS:Bans имеется, необходимо обновить 1 файлик - https://github.com/craft-soft/CS-Bans/blob/master/protected/controllers/BansController.php
Фикс ошибки 504 при просмотре деталей бана под админ-аккаунтом т.к. деффолтный сервис, который использовался R.I.P.
Новый сервис для информации по IP и кэширование информации о IP.
Скачать CS:Bans 1.3.1

Вышла обнова CS:Bans 1.3.1
Скачать можно с гита - Ссылка
Изменения

Ммм, актуалочка подъехала

[b]Gecko, возьми огнетушитель, а то попа горит я вижу. Я не отвечал тебе, а другим, чтобы не делали глупостей описанных тобой. Я не нанимался учителем и мне за это не платят, чтобы все разжевывать. Но вкратце любой дурак знает что в 202х мд5 небезопасен и статей на это тему полным-полно (банально коллизии). Взамен есть куда более безопасны алгоритмы хеширования. Что такое UX тебе также наверно не известно. Заставлять пользователя менять юзер агент (тем более ставить плагин в фаерфокс если у него хром да еще и мобильный) это сверх идиотизма, тем более для цмс. И если твои познания что такое 2фа заканчиваются на уровне пришло смс, то мне тебя глубоко жаль ввиду того, что ты сильно ограничил себя в познании нового застряв при этом где то в годах 2005-ых. И да на счет ЦМС и пхп проектов: я наверно открою для тебя тайну, но кроме пхп для бекенда используют множество других языков. Но это уже к той же опере, что и познания TOTP, HMAC и других актуальных технологий. Токены нынче никто в здравом умен е выдает длительные. Почитай на досуге, что такое accrss токен и refresh токен. И снова вернулись к теме учебы, а не топтания на месте со стеком знаний 10-и летней давности.

P.S. Прошу не отвечай мне. Мне не интересный твой бомбеж со вкусом седины. Можешь и далее сомневаться в моей проф пригодности, мне на это глубоко плевать, так как к счастью ни ты не будешь у меня собеседоваться ни я у тебя и наши дороги никогда не пересекутся в проф среде, что не может не радовать.

А мне нравятся форумчане Gecko и Metal Messiah :)) они чем-то похожи, они спецы во всех сферах и всегда пишут много букв, много спорят. Фанаты win xp. Но никто не видел их работ. Metal Messiah обещал за 2 недели написать двиг типа svv. Прошло уже полгода, тишина. ВаНеК взял и написал двиг с 0 для gs-m :)

esterio,
Знатно свалил, с темы. Но я отвечу не тебе, а тем кто этот твой бред будет читать.

md5 как алгоритм хэширования и как функцию в частности, используют, использовали и будут использовать. Давайте вместе посмеёмся.
md5 часто применяют там где нужно получить хэши, и часто это не завязано на безопасности (хэширование паролей) а банально session_name, но если говорить в контексте безопасности и тем более данной темы, давайте чисто логически предположим где именно небезопасно. Небезопасно когда данный хэш ИЗВЕСТЕН. Особенно когда имеем дамп БД где все эти хэши в виде вашего пароля + соль. Тогда имеем возможность узнать реальный пароль пользователя и технически это никак не ограничивает. То есть, для паролей + БД, идея с md5 в 2021-ом году не самая лучшая.

НО!!!

Может тут есть гении, которые мне скажут, каким образом md5(хэш) в контекcте нашей темы НЕБЕЗОПАСНО? Если сам хэш априори неизвестен??? А в виду технических особенностей самой идеи, и перебор хэшей также.
+++ В самом первом своём сообщении этой дискуссии я акцентировал на принудительном https


Ребята, на будущее...
Вот он -----> esterio никакой не программист.

sergggzi, Мерси за комплимент, не заметил твой коммент. В спорах рождается истина.
Я по жизни не альтруист, но этот форум уважаю. Я тут не 3 года а гораздо дольше, с самого его начала, просто со старой учётки никогда не отписывал.
Я был ещё на старом проекте, тот который был на phpbb (было 2 реинкарнации форума) и патриотом~UA, тоже с самого начала по моему 2005/6-й год если не ошибаюсь. Почему отписываю тут иногда? Из старых форумов по сути остался только этот, видимо потому. По тематики CS ничего не выкладываю, нет желания вообще тратить на это время, есть одна поделка на харде - альтернатива менеджеру игровых серверов, но на bash + .deb, допилить осталось мелочь но опять же, желания нету... я в игры вообще не играю, а в кс захожу раз в месяц, за прошлый и этот месяц играл наверное от силы час. На pawn писал последний раз 4 года назад для зомби сервера. Из игровых проектов cs 1.6, это root доступ к 4-рём VPS в качестве технического администратора на добровольной основе, но по сути в моих услугах нет нужды, всё настроено и уже не первый год исправно работает.

К стати, я не фанат XP, а даже наоборот, в той теме я был оппонентом Metal Messiah

По предыдущему комментарию, на счет моего поста и md5 родилась хорошая аналогия.
Есть дверь, с очень плохим замком, которую легко вскрыть, но вопрос с 4-мя неизвестными... В какой стране, городе, улице доме/квартире эта дверь? И есть ли смысл эту дверь искать...
А рассказывать о коллизиях в теме которая вообще к этому не имеет никакого отношения, это уже не спор, это бред.

esterio,
Задам 1 вопрос. Можешь не отвечать, специалист... )
Ты вообще к чему это сморозил? Тебя по этому поводу когда то опустили, я имею ввиду в твоих убеждениях что CMS может быть только на php, и ты решил спроецировать свою старую обиду на мой ответ в теме? (2 вопроса)
А вспомни, не я ли часом тебя по этому поводу и опустил, всё таки может остался данный пост на просторах интернета? (пусть будет 3)

Прочитал твой **** и реально стало интересно, что тебя мотивирует кидаться такими словами/аббревиатурами как TOTP и HMAC? (4 вопроса и всё)
Ты мне что-то хочешь доказать? (пусть будет 5) только я в упор не вижу что именно.
Если это просто игра терминов, то можешь ещё почитать про микросервисы, контейнеризацию, докер (в целом) и кубернетес (в частности). И возможно ты поймешь, что бекенд может быть не только на разных языках.

Вот в этой теме про csbans это будет очень к стати.

Где тут речь о каких-то плагинах, которые на каждый домен ставят свой ключ? Да такие костыли никому не нужны, защиты от дурака не существет. Если пользователь дурак, то он и код от 2fa, скажет и левую программу поставит, которая архивирует папку настроек браузера и отправит злоумышленнику. Лучшее решение без лишних костылей - 2fa, но дурака и она не спасет, ведь ему плевать на фразу "никому не сообщайте код", а в гугл аунтификаторе этой фразы вообще нет.

Все, сложные пароли, каптча и ограниченное количество попыток входа уже не модно, теперь хэши в юзер-агенте передавать тренд?
В копилку вредных советов.

Gecko, можешь думать что угодно. Мнение отбитых для меня пустой звон. Факт остаётся фактом, ты никогда не поймешь, что высрал го###но. Бомби далее тут интернет воин.

BaHeK, Конкретно в цитируемом тобою посте я не привел примеров и не развернул достаточно подробно саму концепцию, дополнительной аутентификации.

Что бы не уходить от темы, уже в нейросети, давай просто возьмём как пример наш многострадальный csbans.
Давай рассмотрим твой пример работы с csbans, или любого другого пользователя, как у него он устроен, какие права доступа у пользователей и сколько вообще этих пользователей.
У некоторых) вообще банс чисто для 1-2 главных админов, а все серверные админы в users.ini.
В чем сложность установить незаметный плагин для браузера этим двум админам и исключить последствия от угона учетки?
А мы уже разобрались что при таком раскладе, имея логин и пароль, доступ на сайт невозможен без плагина.
И такие мероприятия как раз защищают от дурака.
А автоматизация и генерация ключей для того или иного пользователя это процесс быстрый и сама установка на стороне пользователя занимает 1 секунду и функционирует вообще незаметно.
Ты в админке создаешь пользователя, выдаешь ему нужные права, и после создания скрипт автоматически отправляет сообщение этому пользователю в виде ссылки на плагин, нажав на которую пользователь получит доступ на сайт только с определённого профиля его браузера, а сам плагин на сервере будет удалён. В случае утери ключика, пользователь подаёт запрос админу о его восстановлении, админ в профиле этого пользователя инициирует повторную генерацию ключа и отправку на почту. Либо сам в ручном режиме скидывает ссылку на плагин.

В прошлом году, взломали один очень популярный ютюб-канал, владелец этого канала гражданин США и уже 20 лет живущий там, позиционировал он себя как опытный системный администратор.
Его Google аккаунт, как он считал, был довольно неплохо защищён.

Вот однажды к нему приходит коммерческое предложение от одной компании которая имела неплохой сайт и выглядела по его мнению весьма легитимно, и вот Александр (владелец канала) запускает небольшой файлик (программу) которая получает ключи восстановления с его аккаунта и меняет данные доступа. приложение на смартфоне получает заветное уведомление о доступе, но уже поздно, программа злоумышленника отработала за 3 секунды в автоматическом режиме. В каких случая Александр не потерял бы свой канал?
Если бы у него был настроен дотсуп по токену, то есть, независимая проверка прав доступа. В нашем случае, если бы у него был доступ по ключику в UA и установлен заветный плагин браузера, скрипт злоумышленника после авторизации не получил бы нужных прав, а все ключи восстановления были бы автоматически аннулированы, то есть, это конечно не токены на физическом носителе, но зато это самая дешевая и простая реализация идентификации пользователя которому необходима дополнительная проверка/идентификация.

Gecko, я не ставлю лишние костыльные расширения, еще может для каждого сайта ставить свои расширения? И я тебе еще раз пишу, дурак может поставить стороннее ПО, на свой пк и все твои костыли улетят на сторонний сервер вместе со всеми настройками браузера.