Привет парни!

 

У меня на форуме(3.3.3) модераторы нашли такую багу:

При выдачи предупреждения пользователю ему можно изменить группу @_@ на более высшую т.е был пользователем поставил на час РО и перевел в группу модераторов

 

как скрыть группы из этого списка?

как скрыть полностью этот пункт?

какие есть способы для решения этой уязвимости? назначать группы на форуме могу только я.

 

скрин прилагается

 

Edited 17 декабря, 201211 yr by alcone

Привет.  Необходимо закомментировать или удалить кусок кода из шаблона Профили пользователей --> addWarning:

						<input type='checkbox' name='ban_group' id='ban_group' value='1' /> <label for='ban_group'>{$this->lang->words['warnings_ban_group']}</label>
						<select name='ban_group_id'>
						<foreach loop="banGroups:$this->caches['group_cache'] as $id => $data">
							<if test="canUseAsBanGroup:|:!$data['g_access_cp'] && !$data['g_is_supmod'] && ($id != $this->settings['guest_group'])">
								<option value="{$id}">{$data['g_title']}</option>
							</if>
						</foreach>
						</select>

Превосходно!

Не надёжно.

Конечно, другого способа как-то скрыть это нет, но вообще можно подделать запрос к сайту, даже если там нет этого поля, проще говоря, по прежнему возможно перевести пользователя в высшую группу, хоть и нужно будет приложить большие усилия. Лучше обновитесь до более новой версии, по крайней мере в 3.3.4 я такого не видел.

Не знаю в эту ли тему пишу. Заранее прошу прощения.

 

Проблема состоит в следующем: возникла необходимость скрыть от пользователя от кого из модераторов или администраторов ему прилетело предупреждение или бан. Понятное дело, что обезличить профиль модератора или администратора и визуально приравнять их к пользователям. А вот как сделать, чтоб в IPB 3.4.5 пользователь видел предупреждение, мог с ним ознакомиться, но не видел с какого профиля оно было вынесено? По примеру теста такого: "Вы получили предупреждение от модератора по причине нарушения п.п. ..... Правил форума"

Можно же просто запретить модераторам менять наказание..