Due password per entrare nell'amministrazione del sito

[mmleoni]

facendo un po' di ricerche mi sono imbattuto anche io nel topic segnalato da maurizio.
sintesi: un utente segnalava, con tutte le operazioni necessarie per riprodurre la situazione qui descritta, il problema in data 9 ottobre 2008 (sì, avete letto bene duemilaotto).

sì può ora continuare a dire che questo sistema di autenticazione è un concept plugin quindi solo un esempio di programmazione?
(e che bell'esempio, aggiungerei)

ma allora perché non lo si mette nel wiki, e magari con le dovute avvertenze, invece di lasciarlo nelle distro ufficiali?

la logica è quella di lasciare una pistola carica in giro per casa sussurrando che tanto non va usata.
è una cretinata: prima o poi qualcuno ci si fa male.

ciao,
marco

[mau_develop]

...infatti, a volte ragionano strano... cioè ... mi dico... ci vogliono buone ragioni per ignorare un problema per anni... tra l'altro una vulnerabilità non da poco visto che in 5 minuti il sito è mio anche se ignoro completamente l'informatica...
Non abituato a sindacare troppo i ragionamenti altrui, visto anche le non risposte che a volte ricevi ( ...un poc?!), mi sono sempre abituato a non usarlo o addirittura a toglierlo anche perchè non ne riesco a capire l'utilità... visto che chiunque con un accont gmail può accedere a contenuti registered in fe, e che un account gmail ci metti 10 secondi a fartelo... piuttosto lascio tutto public... che me ne faccio di mail e dati che sono per la maggior parte recipient spazzatura e fake account?

[frankquart]

ciao M_W_C
in effetti all'inizio accettavo commenti agli articoli del mio sito solo da chi si registrava.
Avendo avuto molte registrazioni fasulle / spam, ho ripiegato bloccando le registrazioni al sito
e sfruttando il plugin di gmail che mi sembrava utile.
In genere lo spam arrivava da mail di altri domini così ho pensato,
senza che la gente si registri anche nel mio sito, avendo semplicemente un account gmail può commentare subito gli articoli.
Lasciare tutto pubblico non posso perché anche in questo modo mi si riempirebbe il sito di commenti spam.


E così è arrivata l'amara sorpresa dell'account da amministratore


ciao a tutti
Frank

[mau_develop]

...seguo il tuo ragionamento.

Se registrandosi arrivava spam e con gmail no, c'è da pensare.
Un accont gmail ce l'hanno tutti e più di uno ci vorrebbe un attimo ... anzi forse è addirittura più semplice che registrarsi..
e allora perchè accade?
Mi viene da pensare che venga fatto tutto automaticamente dalla registrazione allo spam, cosa che risolvi con un recaptcha.
Un'altra soluzione è l'approvazione della registrazione o l'approvazione del commento.

[Babyjoomla]

Confermo, il plug in gmail ha quel bug da sempre, meglio lasciarlo disattivato, +  info qui *********

[alexred]

ciao Babyjoomla,
ho eliminato il tuo link esterno, no amiamo questo genere di attività.

Ci siamo occupati personalmente di segnalare quel bug al team di Joomla e con il prossimo aggiornamento sarà corretto nel ramo 3.2 di Joomla e successivi.

[Babyjoomla]

Chiedo scusa essendo il blog di un vostro collaboratore pensavo fosse ammesso

[mmleoni]

http://developer.joomla.org/security/581-20140304-core-unauthorised-logins.html


non sono stati proprio velocissimi ma apprezziamo lo sforzo


ciao