1С-Битрикс Разработчикам

Эксперт

Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011

Сертифицированный партнер

19.02.2012 18:25:00

На форуме с аккаунта пользователя начали сыпаться всякая чушь

Пользователь был сразу же удалён модераторами форума, но будучи удалённым (картинка 1 картинка 2) под его аккаунтами продолжали сыпаться всякие подобные сообщения!

Блокирнул по IP на уровне веб-сервера - вроде пока затишье ...

1. Будут мысли - что за хрень ?
2. В плане антиспама на форум кто какие решения прикрутил и на сколько действуют ?

Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 11948

Гуру

Сообщений: 8511 Баллов: 1056 Регистрация: 17.05.2007

19.02.2012 18:57:01

К сожалению, пока в продукте присутствует минус - при удалении пользователя, его сессия сохраняется. Плюс явного запрета на постинг нет, в пределах сессии он продолжит писать. В ближайшее время вроде должно быть пофиксено.

Написал такое решение для помощи модератору: http://marketplace.1c-bitrix.ru/solutions/asd.moderator/

https://d-it.ru

Я инженер, который решает задачи, а не пишет на языке. Архитектура, разработка, DevOps — подбираю инструменты под цель, строю решения, которые работают в проде и масштабируются без боли.

Пользователь 13618 Эксперт Сообщений: 1363 Баллов: 231 Регистрация: 05.04.2011 Сертифицированный партнер	#3 0 20.02.2012 05:50:34 Можно ли в ручную грохнуть его сессию ? Мой блог - вопросы веб безопасности, разработка и поддержка сайтов.

Пользователь 11948

Гуру

Сообщений: 8511 Баллов: 1056 Регистрация: 17.05.2007

20.02.2012 11:31:35

Нет. Это не столько Битрикс уже, сколько сама технология php.

Пользователь 31476 Постоянный посетитель Сообщений: 331 Баллов: 27 Регистрация: 17.10.2008	#5 0 20.02.2012 13:57:33 Можно его запихнуть в Стоп-лист

Пользователь 57829

Гуру

Сообщений: 3754 Баллов: 320 Регистрация: 17.02.2010

21.02.2012 07:35:32

Цитата
Антон Долганин пишет: Нет. Это не столько Битрикс уже, сколько сама технология php.

Все таки в большей степени это битрикс, а не технология php, сессии вполне себе прибиваются вызовом session_destroy, чего в битриксе по дефолту не происходит при удалении пользователя.

Карточка партнера Наш сайт

Пользователь 11948

Гуру

Сообщений: 8511 Баллов: 1056 Регистрация: 17.05.2007

21.02.2012 14:02:10

Денис, а как узнать какую сессию прибить то когда удаляешь ты чужого пользователя? Это еще теоретически возможно при хранении сессий в БД.

Пользователь 57829

Гуру

Сообщений: 3754 Баллов: 320 Регистрация: 17.02.2010

21.02.2012 16:50:02

Антон, именно поэтому я и сказал что это в большей степени проблема битрикса, система не знает где чья сессия, в API была бы не лишней функция CUser::GetSessionByID() или уж еще лучше CUser:: DestroySessionByID()
Кстати в принципе ничего не мешает сессию хранить где нибудь в UF_*
КАК МЕНЯ ЭТО ЗАМАНАЛО "Ваша сессия истекла. Повторите действие."

Карточка партнера Наш сайт

Пользователь 31476

Постоянный посетитель

Сообщений: 331 Баллов: 27 Регистрация: 17.10.2008

21.02.2012 16:54:46

Цитата
КАК МЕНЯ ЭТО ЗАМАНАЛО "Ваша сессия истекла. Повторите действие."

+1 причем повторение действия не помогают

Пользователь 11948

Гуру

Сообщений: 8511 Баллов: 1056 Регистрация: 17.05.2007

#10

21.02.2012 16:56:18

Цитата
Денис Диденко пишет: проблема битрикса, система не знает где чья сессия, в API была бы не лишней функция CUser::GetSessionByID() или уж еще лучше CUser:[IMG]estroySessionByID()

Так корни то идут от PHP

Связь нужно создавать искусственно. А это доп.запросы к базе. Но, если вы храните сессии в БД, то уже у вас есть эти запросы. И вот в данном моменте я уже не понимаю почему Битрикс не допилил механизм до конца.

Форум

Центр поддержки

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером