Bug codice attivazione?

[opsosa]

ciao, posto qui che forse è la sezione più adatta...recentemente ho notato che se pur impostando l'attivazione utente da parte dell'amministratore del sito...se uno fa il resend del codice di attivazione questo viene abilitato automaticamente...
uso joomla ultima versione 2.54 è un errore mio o un problema reale?
avevo postato in un altra sezione ma forse questa quella più adatta al problema.

[mau_develop]

Nessuno ha provato?

M.

[56francesco]

fosse solo quello..
è dalla 1.6 che trovo utenti registrati senza riempire le caselle dei dati con l'opzione obbligatori del plugin profle..

[opsosa]

ok allora il problema è reale...pensavo fossi io....

[mau_develop]

..te l'avevo detto che joomla su questo modulo ha problemi da quando è nata... è stata la mia prima vuln trovata
eppure ho guardato il codice e sembra fare il controllo, ho cercato nelle segnalazioni ma sembra che nn ci sia nulla...
non ho potuto provare perchè nn ho online delle 2.5 e nn ho voglia di installarla però ora lo faccio e me la studio un po'..

se è veramente così è comunque una "privilege escalation"

M.

EDIT:
in "gestione utenti " -> opzioni-> configurazione utenti -voce: attivazione nuovi utenti ... come è impostata?

EDIT DOPO TEST: A me funziona tutto correttamente:

1) si è iscritto al sito l'utente e viene inviato link per attivazione
2) l'utente clicca sul link e appare il messaggio che la sua reg sarà valutata dall'admin -> viene inviato avviso all'admin di confermare l'utente. Nel pannello admin le voci "abilitato" e "attivato" sono rosse.
3) l'utente cerca di cambiare la pw e riceve qs messaggio:
Reset della password fallito: Questo utente è bloccato. Se si tratta di un errore, contatta un amministratore.

mi sembra tutto ok, nessun bug ... o non intendevi questo?

M.

[opsosa]

se l'utente richiede il reinvio del codice di attivazione e non la password e ci clicca su a te non si abilita in automatico?

[mau_develop]

se l'utente richiede il reinvio del codice di attivazione
------------------------------------------------------------------------

in che modo? ... mi metti i passaggi così che li replico'

M.

[opsosa]

con il componente che uso io a pagamento gli utenti, vengono registrati comunque utilizzando il modo classico di joomla, ma nel login risulta sia il recupero pw userneame e reinvio  codice di attivazione.
io ho fatto cosi
registrazione utente
attivazione da parte dell'utente
e richiesta codice di attivazione successiva...
a questo punto l'utente riusciva ad accedere al sito.....

[mau_develop]

con il componente che uso io a pagamento
-----------------------------------------------------------
ah ... ecco!

..pagare a volte non è una garanzia di sicurezza.... se fosse free probabilmente qualcuno testandolo avrebbe già scoperto questo problema... perchè a qs punto è quell'estensione ad avere un problema.

Però pagando dovresti essere anche seguito in questa cosa, segnalala.

... la prima domanda che si fa un curioso è: "ma se hanno cannato questo... cos'altro?"

M.

[opsosa]

ok allora il problema non è di joomla, meglio cosi,,, comunque ho rimosso la possibilità di richiedere il codice di attivazione.....


grazie dell'aiuto.


ps


ma con la registrazione classica di joomla la richiesta di reinvio del codice di attivazione è possibile?

[mau_develop]

no, ... ma a che pro?
..cioè dovrebbero essere rari casi risolvibili contattando l'admin..., in fondo serve a limitare le iscrizioni "fake" ma se un utente mi manda una mail dicendomi di non ricevere il cod lo attivo io e basta senza creare un automatismo.
Anzi, mi può pure essere utile per cercare di capire il perchè a volte non partono le mail etc...

M.

[opsosa]

si ok capito.
grazie per l'aiuto a presto


scrivo risolto.

[mau_develop]

Non capisco una cosa, ma che credenziali devi inserire perchè ti venga rispedito il link?

ps... non dirmi la mail

M.

[opsosa]

si email

[mau_develop]

omg!

scusa ma se io mando la mail di un'altro? ...magari nella mia stessa situazione?... o magari no...
e se mando la tua?

Cioè se sono da approvare non posso loggarmi per dare a joomla la possibilità di identificarmi univocamente, deve stare all'indirizzo che io inserisco, dovrebbe esigere almeno la pw che hai inserito

.... capisci anche tu....

M.

[opsosa]

be ma l'email dovrebbe arrivare solo alla persona che ne ha richiesto l'attivazione...se te inserisci la mia che non mi sono registrato...non mi arriva nulla..

[mau_develop]

quello che ti voglio dire è che è un errore grossolano di sicurezza.
Potrei essere il tuo collega e sentirti bestemmiare perchè non ti arriva la mail ... recupererei io il suo link fregandogli l'account...
sono esempi tirati per i capelli ma ti assicuro che con un po' di ragionamento quella funzionalità diventa pericolosa.... chi sviluppa non può sapere dove viene installata la sua estensione, se fosse su un sito dove inserisci dati "interessanti" avrebbero già pappato tutto.

M.

EDIT{}  ci ho pensato,... ho fatto un esempio stupido per non suggerire modalità... ed è venuta una cosa ... inutile

[opsosa]

capisco.....grazie della segnalazione.

[mau_develop]

si magari leggi la correzione... perchè anch'io spesso dico cose stupide

M.