Joomla.it Forum
Non solo Joomla... => Sviluppo => : The-BiT 31 Jan 2011, 12:29:58
-
Buongiorno a tutti,
apro questo thread perchè vorrei saperne di più riguardo alla "parola segreta" auto-generata in ogni installazione di joomla.
Fino ad oggi non mi ero mai chiesto il perchè di questa parola, ma ora invece m'è balzata la curiosità e vi dico anche perchè: mentre traducevo un modulo per joomla in italiano, ho visto che nel codice sorgente c'era una chiamata alla parola segreta del sito su cui viene installato questo modulo
$mainframe->getCfg('secret');
E tralascio su cos'altro ho visto in questo modulo (come importazione di files da altri siti, ecc..ecc).
Vorrei sapere, quindi, alla luce di tutto questo un modulo/componente/plugin che effettui un'operazione del genere è da considerarsi affidabile o no? Se non fosse affidabile è bene commentare questa riga (e le altre) ?
Grazie.
-
nessuno che sappia darmi qualche informazione a riguardo?
-
serve a un po' di cose riguardanti la sicurezza tra le quali la generazione di un token per i form
M.
-
E potrei sapere nel dettaglio a cosa?
Ho letto in giro che parecchi consigliano anche di cambiarlo una volta messo online il sito.
Che sia univoco ed unico per ogni sito l'ho capito, ma in questo caso a cosa serve per questo modulo che ho citato?
-
Ho letto in giro che parecchi consigliano anche di cambiarlo una volta messo online il sito.
----------------------------------------------------------------------------
senza dire perchè e a cosa serve?
ma in questo caso a cosa serve per questo modulo che ho citato?
------------------------------------------------------
non sapendo che modulo posso solo intuire che abbia un form, come moltissimi altri moduli.
passando alla pagina chiamata viene verificato il token per vedere che non sia uno spoof
E potrei sapere nel dettaglio a cosa?
--------------------------------------------------
beh difficile fare il dettaglio di una "modalità", direi dove serve lo fai, per cosa dipende...
M.
-
beh difficile fare il dettaglio di una "modalità", direi dove serve lo fai, per cosa dipende...
Non ho affatto capito la tua risposta. Vabbè che la parola è segreta :) ma la si deve mantenere segreta?
Scherzi a parte, era solo per capire in dettaglio questa cosa che mi sta incuriosendo, alimentata dal fatto che questo modulo oltre che a fare uso di questa parola segreta, apriva una serie di file (con fopen) dal sito del produttore e visitando questi link appariva un messaggio che l'IP era stato registrato, tutto qui.
Il nome del modulo non lo ricordo perche l'ho disinstallato.
Mi sa che era un modulo/plugin per CB per tracciare una lista delle attività degli utenti: visita profilo, commenti, visite, ecc.
-
http://forum.joomla.org/viewtopic.php?f=428&t=406313&sid=05a3d68b46651962ba19746848c7f18f
M.