E-mail за место логина

[ValeCore]

Есть ли аддон, или другой способ как сделать так, чтобы при авторизации необходимо было указывать свой E-mail указанный при регистрации, за место логина.

 

[Skaiman]

хоть раз читал, что там написано :)

 

[ValeCore]

Skaiman, на скриншоте или почта или логин.
Нужна авторизация ТОЛЬКО через E-mail. Т.е. чтобы авторизация по логину не работала.

 

[Skaiman]

Что вы сами все усложняете, ты считаешь, что так лучше, а о пользователях думаешь? Может кому удобнее использовать логин, выбор должен быть.

 

[ValeCore]

Skaiman, я не усложняю, я переживаю за пользователей. На кустарных мелких форумах ладно, но когда посетителей +100 000 за день, то за 1 день поступает минимум с десяток жалоб о взломе аккаунтов (банальный брут).
Если убрать логин при авторизации, то брут уйдет полностью на нет.

 

[Exile]

Если убрать логин при авторизации, то брут уйдет полностью на нет.

Очень интересная теория. Особенно если учесть, что брутят-то как раз по базам email:pass, то есть адресу почты и паролю. Ну да ладно, вам видней.

 

[ValeCore]

Exile, ?! :eek:
Школота может и брутит по базам email:pass найденным где-то в паблике.
В нашем случае брутят по связке ник:словарь_паролей.
Ник на блюдечке, выбирай любой.

И давайте без полемики. Я просто спросил то, что мне необходимо, а зачем это, лучше оно или хуже, это уже дело житейское. Я же не бегаю тут и не спрашиваю у каждого - а зачем? а почему? а для чего?... Если спрашивает человек, то значит ему это нужно :-)

 

[Exile]

В нашем случае брутят по связке ник:словарь_паролей.

Свечку держали али сами брутите? XenForo нигде неудачные попытки входа не логирует.

В общем мода не вижу, но как сделать подскажу. Но опять же не советую.

Открываем файл library/XenForo/Model/User.php

Ищем:

    /**
     * Returns a user record based on an input username OR email
     *
     * @param string $input
     * @param array $fetchOptions User fetch options
     *
     * @return array|false
     */
    public function getUserByNameOrEmail($input, array $fetchOptions = array())
    {
        if ($this->couldBeEmail($input))
        {
            if ($user = $this->getUserByEmail($input, $fetchOptions))
            {
                return $user;
            }
        }

        return $this->getUserByName($input, $fetchOptions);
    }

Удаляем или комментируем строку:

return $this->getUserByName($input, $fetchOptions);

После этого издевательства над движком, останется лишь поправить фразы. За работоспособность других модов после этого не отвечаю.

 

[Smalesh]

Свечку держали али сами брутите? XenForo нигде неудачные попытки входа не логирует.

Брут прекрасно видно в логах, подтверждаю что обычно брутят логин+словарь (особенно любят логин с id=1) + насколько я помню, xenforo как и любой нормальный движок блочит на время ip при попытке подбора паролей (впрочем это от брута не сильно спасает, как правило брутят с достаточно большого диапазона ip).

Ваша учётная запись временно заблокирована из-за слишком большого числа неудачных попыток входа.

Следовательно неудачные логоны пишутся в базу. И есть более интересное решение - к обычному временному бану по ip добавляется капча или проверочный вопрос при логоне (иногда капчу добавляют до бана по ip). Реализовано ли оно на xenforo или нет - это другой вопрос, по идее должно существовать в природе что-то подобное.

 

[ValeCore]

Свечку держали али сами брутите?

Типа того. При наличии своего сервера всё прекрасно видно, кто, чего и когда. Так что можно сказать, что да, свечку пришлось подержать.

Очень интересная теория. Особенно если учесть, что брутят-то как раз по базам email:pass, то есть адресу почты и паролю. Ну да ладно, вам видней.

Наткнулся сейчас. Это к слову о том, как брутят.

 

[Foksik]

Есть ли аддон, или другой способ как сделать так, чтобы при авторизации необходимо было указывать свой E-mail указанный при регистрации, за место логина.

Подсказать не могу, но что-то подобное точно есть.
На складчике уже около года возможность входить в аккаунт исключительно под e-mail-ом.

 

[ValeCore]

На складчике уже около года возможность входить в аккаунт исключительно под e-mail-ом.

Потому что складчик тоже не маленький ресурс и скорее всего столкнулся с той же проблемой как и у нас, брут.

 

[Mirovinger]

Потому что складчик тоже не маленький ресурс и скорее всего столкнулся с той же проблемой как и у нас, брут.

Там по другой причине сделано, не относящейся к бруту.

 

[ValeCore]

Mirovinger, какой, если не секрет?

Чтобы мыльник всегда был актуален и чтобы можно было делать рассылки?

 

[Mirovinger]

Чтобы мыльник всегда был актуален и чтобы можно было делать рассылки?

И это тоже.

 

[Foksik]

Там по другой причине сделано, не относящейся к бруту.

Как раз по той же.
После брута и слива дампа базы, они сделали такой вход (по эмейлу)
И всем (если не ошибаюсь, то начиная с члена клуба) разослали предупреждение о смене пароля, и смене мыла, который будет использоваться только на складике.
То есть, после того что у каждого индивидуальная почта (которая больше ни где не используется), брут не возможен в принципе :wink:

 

[Mirovinger]

Как раз по той же.
После брута и слива дампа базы, они сделали такой вход (по эмейлу)
И всем (если не ошибаюсь, то начиная с члена клуба) разослали предупреждение о смене пароля, и смене мыла, который будет использоваться только на складике.
То есть, после того что у каждого индивидуальная почта (которая больше ни где не используется), брут не возможен в принципе :wink:

Спорить не буду ибо бесполезно, так как там был ещё ряд причин, а если кто-то задумает слить, то он это сделает.
А брут используют как раз и на почту, по крайней мере, в последнее время, очень актуален, а почту человек может засветить в любом месте.

 

[Exile]

Подсказать не могу, но что-то подобное точно есть.
На складчике уже около года возможность входить в аккаунт исключительно под e-mail-ом.

Выше есть готовое работающее решение. Официально рекомендованное разработчиками, между прочим. Не то чтобы они правки в файлах советовали, но правка в нужном месте.

 

[Hope]

Тема превратилась в мусорку. Офф.