Joomla.it Forum
Non solo Joomla... => Sicurezza => : Alex21 10 Sep 2013, 13:21:40
-
Vorrei segnalare una stranezza di joomla.
Io l' ho scoperta adesso, forse è stata già discussa.
Ecco qua.
In alcuni siti joomla, non tutti, se digito:
http://sito_joomla.it/index.php/component/users/?view=reset (http://sito_joomla.it/index.php/component/users/?view=reset)
compare il form per una nuova password.
Lo fa anche se nella pagina home manca qualsiasi collegamento a questa pagina.
In alcuni siti esce, correttamente, la dicitura che il file non si trova, ma il altri esce il form per il reset.
Per fortuna il reset non lo fa, perchè un super user non può essere resettato,
ma vi chiedo, è normale così? Ho fatto qualche errore?
All' inizio del file di codice c'è il solito
defined('_JEXEC') or die;
ma _JEXEC risulta settato a 1 anche senza passare per la pagina Home.
boh??
Ciao.
-
...
http://www.joomla.it/mediawiki/index.php/Joomla!_2.5:Recupero_password_amministratore
ciao
-
...
http://www.joomla.it/mediawiki/index.php/Joomla!_2.5:Recupero_password_amministratore (http://www.joomla.it/mediawiki/index.php/Joomla!_2.5:Recupero_password_amministratore)
ciao
Grazie per la risposta.
La password amministratore ce l'ho.
Mi lamentavo solo del fatto che una pagina interna come
http://sito_joomla.it/index.php/component/users/?view=reset
si potesse raggiungere direttamente (a volte), senza passare per la pagina Home.
Non riesco a capire perché, non dovrebbe farlo.
Ciao
-
anche senza passare per la pagina Home
------------------------------------------------------------
come arrivi a questa deduzione?
se fosse vera non passeresti dalla "home" ,come dici tu, nemmeno se il componente fosse attivo...perchè ciò che metti nell'url è la stessa cosa
ma se vuoi preoccuparti veramente devi provare a disabilitare anche il modulo login e poi chiamarlo... il modulo contatti e poi chiamarlo... :)
-
[size=78%]ma se vuoi preoccuparti veramente devi provare a disabilitare anche il modulo login e poi chiamarlo... il modulo contatti e poi chiamarlo...[/size] :)
Ok.
Probabilmente mi sfugge il senso preciso di questa istruzione:
defined('_JEXEC') or die;
che c'è all' inizio di ogni script escluso quello iniziale, naturalmente.
Ciao
-
Quella riga serve ad evitare il richiamo diretto del file da browser, invece richiamare una azione da url è una cosa normalissima e non c'entra con quella istruzione.
-
Quella riga serve ad evitare il richiamo diretto del file da browser, invece richiamare una azione da url è una cosa normalissima e non c'entra con quella istruzione.
Va bene.
Allora per evitare che i motori di ricerca indirizzino quella pagina potrebbe essere adatta una istruzione nel file robots.txt
Una cosa tipo:
User-agent: *
Disallow: /components/com_users/
Nel robots.txt da mettere nella directory principale.
Non so se funziona anche con la riscrittura user_frendly degli indirizzi.
Per scoprirlo dovrei aspettare il passaggio del bot, però.
Trovi?
Ciao
-
No non può funzionare perchè quel url non è un percorso ma un richiamo ad un azione che genera una pagina. Puoi bloccare l'azione solo togliendo il componente o la parte di codice che viene chiamato per rendere la pagina.
-
No non può funzionare perchè quel url non è un percorso ma un richiamo ad un azione che genera una pagina. Puoi bloccare l'azione solo togliendo il componente o la parte di codice che viene chiamato per rendere la pagina.
Un sistema piuttosto pesante.
Poi nel link del motore di ricerca rimane un buco.
Forse funzionerebbe sistemando un meta tag noindex, nofollow nel codice che genera la pagina.
Però... però..., dove si va a cercare quel codice dentro a 6000 script ?
la pagina è sempre questa:
http://sito_joomla.it/index.php/component/users/?view=reset (http://sito_joomla.it/index.php/component/users/?view=reset)
Ne hai una idea?
Ciao
-
il robots non serve a quello ... disallow non impedisce nulla... è una cortesia non una direttiva
-
il robots non serve a quello ... disallow non impedisce nulla... è una cortesia non una direttiva
Certo che è una cortesia, ma in genere la fanno.
Ciao
-
[RISOLTO]Problema: i motori di ricerca hanno indirizzato una pagina come questa:
http://sito_joomla.it/index.php/component/users/?view=reset
E sarebbe meglio che non avvenisse.
La cosa è successa (probabilmente), perché prima nella Home page c'era il modulo di Login, poi è stato tolto. Nel frattempo è passato il bot ...
Nei post precedenti si legge che una soluzione che utilizza un file robots.txt è sconsigliabile.
Quindi bisogna sistemare nella pagina un meta tag <meta name="robots" content="noindex">
e poi sperare che al prossimo passaggio del bot venga eseguita la correzione nella indicizzazione.
Ho provato ad installare dei componenti joomla per i metatag, ma non sono riuscito a farne funzionare nessuno,
probabilmente perché la pagina in questione non è un articolo né una categoria e non ha voci di menù che la puntino.
Quindi non rimane che provare a fare una modifica al codice di Joomla. Versione 2.5.14.
Soltanto una riga di codice da inserire.
Cercando con pazienza (molta), il file che costruisce parte della pagina è questo:
/components/com_users/views/reset/view.html.php
All' interno c'è questa funzione
protected function prepareDocument(){
//codice joomla
.
.
.
//codice joomla
if ($this->params->get('robots'))
{
$this->document->setMetadata('robots', $this->params->get('robots'));
}
}
Aggiungiamo prima della fine della funzione questa riga di codice, che da me diventa la riga 113:
$this->document->setMetadata('robots','noindex'); // 15/9/2013 personalizzazione
Il codice modificato:
protected function prepareDocument(){
//codice joomla
.
.
.
//codice joomla
if ($this->params->get('robots'))
{
$this->document->setMetadata('robots', $this->params->get('robots'));
}
$this->document->setMetadata('robots','noindex'); // 15/9/2013 personalizzazione
}
Salviamo via FTP il file (magari prima facciamo una copia dell'originale) e fatto.
Se adesso chiamiamo la pagina con il browser e osserviamo il codice sorgente troviamo il nostro meta tag, che interessa solo ed esclusivamente questa pagina.
Per quanto mi riguarda vedo il meta tag in locale e in produzione. Funziona quindi.
Una modifica del genere ha alcuni difetti che la rendono praticabile solo in caso di necessità. Direi.
Aggiornamenti di Joomla: si perde e bisogna ricordarsi che c'era, se serve ancora.
Inoltre è al di fuori della logica del CMS. Direi.
Ciao.
-
?? ma per fare cosa?
google consente la rimozione di link errati,
Se è un modulo che non uso lo tolgo.