竹貓星球

個人有兩各論壇
分別是網路上申請的免費論壇以及用免費空間架設的論壇

近來在申請來的免費論壇發現安全上好像出了問題

該論壇我設定有九成以上的版面都必須有特定的權限才能進入

但是近來發現有人以訪客身分卻能進入特定版面讀取文章

我自己也常是過不登入的情形下自己並無法讀取文章

那是否在安全上出了哪種問題?

由於是免費的論壇

安全設定上自己也無法做出多少改進空間

想請教各位資深的站長們

這種情形是如何發生的

是否如朋友所言、有人可以利用網址的變換或是特殊工具達到此目的

有無防範方式..

你是如何知道訪客也能進入特定版面讀取文章？

~Mac

如果是指管理員於系統管理控制台裡看到訪客正位於需特定權限才能讀取的版區
那麼個人認為這並不是什麼安全性上的問題
一個很簡單的小實驗
1.先以管理員身份登入論壇
2.以訪客身份另開一個新的瀏覽視窗並嘗試連結某特定版面
3.這時訪客的瀏覽視窗會出現登入畫面
4.管理員進入系統管理控制台, 會發現該訪客正位於那個需要特定權限才能讀取的版面上(註1)

其實這是因為phpBB是先判斷你開啟的是那一個頁面後(註2), 才去判斷使用者的權限
因此才會有這種狀況出現

註1:
因session更新的問題, 可能需要多試幾次才會看到結果

註2:
以viewforum.php來講, 就是這一段程式碼在判斷你是位於那一個版面

因為我在別的相關論壇中無意中看到有人發表他跑去某某論壇偷看了該論壇的機密文章(就是我的論壇)

我也經過長達一各月的觀察

確認了該人的IP與論壇所偵測的IP前三碼是固定的(後三碼有+-30左右的變動、應該是網咖電腦)

補充說明

版主說的那各我明白

所以不會錯認