xAuth - každý má právo změnit komukoliv heslo

[zdenek76]

Server: 93.91.250.135:27389

Zdravím, dneska jsem nejspíše objevil obrovský bug autorizačního pluginu xAuth. Připojil jsem se na server, a měl jsem změněné heslo. Další 2 admini také.
Pátral jsem v logu a přišel jsem k tomu, že nějaký hráč jednoduše napsal příkaz /xauth changepw <nick> lol. Všem nám změnil hesla na "lol". Samozřejmě se pak i připojil na naše účty a napáchal menší škody, ale to je vedlejší... Nejdřív se snažil změnit si heslo pomocí příkazu /changepw <StaréHeslo> <NovéHeslo>, ale asi mu to z nějakého důvodu nešlo, protože ten samý příkaz napsal několikrát.. Pak zkusil /xauth changepw, a zjistil, že to jde.

Nechápu, jak může mít obyčejný hráč práva na tenhle příkaz. Kamarádovi, který na serveru hraje, jsem řekl, aby mi taky zkusil změnit heslo, a šlo mu to. Přitom na to nemá žádný permission.
Takže se zdá, že je v xAuth obrovská bezpečnostní díra.
Používám PermissionsEx, zkoušel jsem přidat záporný permission -xauth.admin.changepw, ale nepomohlo to.

Pravděpodobně to dělá jen s verzí CraftBukkitu 1.7.2, mám ještě jeden modovaný server na verzi 1.5.2 a teď jsem si tam z druhého účtu zkusil změnit heslo, nejde to.
Asi budu muset rychle přejít na AuthMe, nebo nevím.

[vojtamaniak]

xAuth byl jednou dobou hodně děravý, nevím jak je tomu teď. Nedali jste mu nějakým způsobem všechna práva? Třeba permission xauth.* ?

Pokud ne, tak doporučuji přejít na Authme-reloaded (KLIKNI SEM), který nemá téměř žádné bugy a přijde mi lepší než xauth.

[zdenek76]

Dobře, asi přecházím na AuthMe Reloaded. Bude potřeba aby se všichni hráči znovu zaregistrovali, nebo umí AuthMe pracovat s registracemi vytvořenými xAuthem? Mám to v MySQL databázi.

[vojtamaniak]

Řiď se tímto návodem: http://dev.bukkit.org/bukkit-plugins/au ... rom-xauth/

[zdenek76]

Díky, už mám na serveru AuthMe Snad ten xAuth aspoň updatnou... To, co se stalo mně, se může stát i dalším lidem, kteří ho používají na 1.7.2...