Lo otro

kommodin · Juillet 23, 2003, 9:18

Ya me acordé de lo otro que quería preguntar:

Uno puede darle diferentes poderes a los usuarios (no solo
administrador y redactor) si entendí bien la última vez que
pregunté...

pero eso no se hace en la interfase de administración. ¿Se
hacer directamente en la base de datos? ¿Qué variables puedo
cambiar?

Gracias,

Germán

------------------------------------------------------
Germán Bustos
german@atarraya.org
Coordinador
Proyecto Atarraya
http://www.atarraya.org
------------------------------------------------------

Daniel · Juillet 24, 2003, 1:25

Ya me acordé de lo otro que quería preguntar:

Uno puede darle diferentes poderes a los usuarios (no solo
administrador y redactor) si entendí bien la última vez que
pregunté...

Lo que puedes crear es un administrador restringido a ciertas secciones unicamente:
para eso, una vez creado un usuario, declaralo administrador, valida, y luego (al final de la pagina 'informacion personal') selecciona la(s) seccion(es) correspondientes en 'limitar la gestion a la seccion'

por otro lado, ciertas operaciones (como archivar la base de datos), si bien se efectuan a traves de la interfaz web de administracion, requieren que tengas un acceso de identificacion ftp. es decir que estan reservadas al webmestre principal.

pero eso no se hace en la interfase de administración. ¿Se
hacer directamente en la base de datos? ¿Qué variables puedo
cambiar?

No, salvo deseos tecnofilos (totalmente legitimos!) , no toques directamente la base de datos

saludos,

daniel

---
Daniel Viñar Ulriksen
dani@easynet.fr

kommodin · Juillet 24, 2003, 4:05

Daniel,

Muchas gracias por la información estoy dándole un vistazo a
las direcciones que me diste. Si surge algo nuevo te
comentaré...

El 24 Jul 2003 , Daniel Viñar Ulriksen me escribió:

> pero eso no se hace en la interfase de administración. ¿Se
> hacer directamente en la base de datos? ¿Qué variables puedo
> cambiar?
No, salvo deseos tecnofilos (totalmente legitimos!) , no toques
directamente la base de datos

No sé si sentirme halagado o culpable... esta mañana le metí
la mano no a una sino a dos bases de datos de sitios SPIP...

Estaba montando un sitio de muestra para que mis potenciales
clientes lo pudieran visitar, pero cometí el error de oprimir
enter antes de crear el usuario principal... y spip me lo
aceptó!

Así que tenía un spip instalado pero sin ningún usuario que lo
pudiera manejar. Lo que hice fue meterme por la interfase de
modo texto y manipulando la base de datos de mi sitio original
copíe el primer registro de la tabla spip_auteurs y se lo metí
a la otra base de datos.

Me reconoció el nombre, el password y hasta la configuración
de la interfaz (colores de fondo y esas cosas).

Por supuesto no lo hice solo porque no soy muy bueno en el
manejo de las interfases de modo texto en Linux y muy malo con
MySQL (y en general con las bases de datos)

Con tu comentario siento que hice una cirugía mayor y ni
siquiera me dí cuenta.

Me quedan dos interrogaciones para que por favor se las
transmitan a los desarrolladores de SPIP (los que hablan
francés y la jeringonza de los expertos en computadores):

1. Debería ser posible evitar que la base de datos quede
instalada sin que se de un usuario válido, estoy seguro que no
soy el único torpe que hay en el mundo, pero además no todos
tienen la suerte de tener root en MySQL y un amigo que los
lleve de la mano para hacer esas operaciones.

2. El hecho que hubiera copiado todo el registro y también me
hubiera copiado el password del usuario ¿no es un potencial
problema de seguridad? No sé supongamos que yo puedo manipular
de alguna manera (por ejemplo a través de una interfase
phpMyadmin) una base de datos ajena y puedo meterle un usuario
o un super usuario, de ahí en adelante puedo hacer lo que me
plazca con el sitio. Mi amigo decía que eso no era muy
probable, pero eso me sonó a "hay que confiar en la gente"

Gracias de nuevo por todo su apoyo...

Germán

------------------------------------------------------
Germán Bustos
german@atarraya.org
Coordinador
Proyecto Atarraya
http://www.atarraya.org
------------------------------------------------------

fil · Juillet 24, 2003, 6:47

1. Debería ser posible evitar que la base de datos quede
instalada sin que se de un usuario válido, estoy seguro que no
soy el único torpe que hay en el mundo, pero además no todos
tienen la suerte de tener root en MySQL y un amigo que los
lleve de la mano para hacer esas operaciones.

En este caso solo hay que suprimir el fichero ecrire/inc_connect.php3 y
seguir de nuevo la procedura de instalacion. No se pierde ningun datos, y te
permite añadir un nuevo admin en la base.

2. El hecho que hubiera copiado todo el registro y también me
hubiera copiado el password del usuario ¿no es un potencial
problema de seguridad? No sé supongamos que yo puedo manipular
de alguna manera (por ejemplo a través de una interfase
phpMyadmin) una base de datos ajena y puedo meterle un usuario
o un super usuario, de ahí en adelante puedo hacer lo que me
plazca con el sitio. Mi amigo decía que eso no era muy
probable, pero eso me sonó a "hay que confiar en la gente"

Si alguien tiene aceso para escribir en tu base de datos, ya estas muerto.
Pero la proteccion de la base no puede ser el trabajo de SPIP (que solo es
un script php!), sino del administrador de la maquina.

-- Fil

Daniel · Juillet 24, 2003, 10:51

2. El hecho que hubiera copiado todo el registro y también me
hubiera copiado el password del usuario ¿no es un potencial
problema de seguridad? No sé supongamos que yo puedo manipular
de alguna manera (por ejemplo a través de una interfase
phpMyadmin) una base de datos ajena y puedo meterle un usuario
o un super usuario, de ahí en adelante puedo hacer lo que me
plazca con el sitio. Mi amigo decía que eso no era muy
probable, pero eso me sonó a "hay que confiar en la gente"

Si alguien tiene aceso para escribir en tu base de datos, ya estas muerto.
Pero la proteccion de la base no puede ser el trabajo de SPIP (que solo es
un script php!), sino del administrador de la maquina.

Es un poco como la historia del banco que pone rejas y puertas blindadas, pero que lo asaltan sigilosamente pasando por los desagues...
Si te fijas la 1001 capas que forman una computadora, hay mas de un punto por el cual se puede intentar entrar.

Al respecto, los problemas de tu hospedaje suenan a que el proveedor, ya sea tiene problemas concretos de seguridad, ya sea está tanteando para mejorar su configuaracion ...
Mira por ejempl lo que dice el programa de configuracion de php :
http://cvs.php.net/co.php/php4.fubar/php.ini-dist?r=1.195
; By default, PHP installs itself with a configuration suitable for
; development purposes, and *NOT* for production purposes.
; For several security-oriented considerations...

Y en particular esta el asunto de 'safe_mode' que te ocurrio el otro dia...

---
Daniel (dani@easynet.fr)
--------
" Con libertad, ni ofendo ni temo "
José Gervasio Artigas - divisa de MonteVIdeO