Autore Topic: Bug codice attivazione?  (Letto 5988 volte)

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Bug codice attivazione?
« il: 26 Apr 2012, 22:09:55 »
ciao, posto qui che forse è la sezione più adatta...recentemente ho notato che se pur impostando l'attivazione utente da parte dell'amministratore del sito...se uno fa il resend del codice di attivazione questo viene abilitato automaticamente...
uso joomla ultima versione 2.54 è un errore mio o un problema reale?
avevo postato in un altra sezione ma forse questa quella più adatta al problema.

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #1 il: 27 Apr 2012, 14:31:18 »
Nessuno ha provato?

M.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #2 il: 27 Apr 2012, 14:55:22 »
fosse solo quello..
è dalla 1.6 che trovo utenti registrati senza riempire le caselle dei dati con l'opzione obbligatori del plugin profle..
« Ultima modifica: 27 Apr 2012, 14:57:05 da 56francesco »
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #3 il: 27 Apr 2012, 15:05:12 »
ok allora il problema è reale...pensavo fossi io....

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #4 il: 27 Apr 2012, 15:22:46 »
..te l'avevo detto che joomla su questo modulo ha problemi da quando è nata... è stata la mia prima vuln trovata :)
eppure ho guardato il codice e sembra fare il controllo, ho cercato nelle segnalazioni ma sembra che nn ci sia nulla...
non ho potuto provare perchè nn ho online delle 2.5 e nn ho voglia di installarla però ora lo faccio e me la studio un po'..

se è veramente così è comunque una "privilege escalation"

M.

EDIT:
in "gestione utenti " -> opzioni-> configurazione utenti -voce: attivazione nuovi utenti ... come è impostata?

EDIT DOPO TEST: A me funziona tutto correttamente:

1) si è iscritto al sito l'utente e viene inviato link per attivazione
2) l'utente clicca sul link e appare il messaggio che la sua reg sarà valutata dall'admin -> viene inviato avviso all'admin di confermare l'utente. Nel pannello admin le voci "abilitato" e "attivato" sono rosse.
3) l'utente cerca di cambiare la pw e riceve qs messaggio:
Reset della password fallito: Questo utente è bloccato. Se si tratta di un errore, contatta un amministratore.

mi sembra tutto ok, nessun bug ... o non intendevi questo?

M.
« Ultima modifica: 27 Apr 2012, 16:17:09 da mau_develop »

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #5 il: 27 Apr 2012, 16:57:45 »
se l'utente richiede il reinvio del codice di attivazione e non la password e ci clicca su a te non si abilita in automatico?

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #6 il: 27 Apr 2012, 17:04:21 »
se l'utente richiede il reinvio del codice di attivazione
------------------------------------------------------------------------

in che modo? ... mi metti i passaggi così che li replico'

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #7 il: 27 Apr 2012, 17:07:06 »
con il componente che uso io a pagamento gli utenti, vengono registrati comunque utilizzando il modo classico di joomla, ma nel login risulta sia il recupero pw userneame e reinvio  codice di attivazione.
io ho fatto cosi
registrazione utente
attivazione da parte dell'utente
e richiesta codice di attivazione successiva...
a questo punto l'utente riusciva ad accedere al sito.....

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #8 il: 27 Apr 2012, 17:12:01 »
con il componente che uso io a pagamento
-----------------------------------------------------------
ah ... ecco!

..pagare a volte non è una garanzia di sicurezza.... se fosse free probabilmente qualcuno testandolo avrebbe già scoperto questo problema... perchè a qs punto è quell'estensione ad avere un problema.

Però pagando dovresti essere anche seguito in questa cosa, segnalala.

... la prima domanda che si fa un curioso è: "ma se hanno cannato questo... cos'altro?" :)

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #9 il: 27 Apr 2012, 17:16:25 »
ok allora il problema non è di joomla, meglio cosi,,, comunque ho rimosso la possibilità di richiedere il codice di attivazione.....


grazie dell'aiuto.


ps


ma con la registrazione classica di joomla la richiesta di reinvio del codice di attivazione è possibile?

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #10 il: 27 Apr 2012, 17:57:36 »
no, ... ma a che pro?
..cioè dovrebbero essere rari casi risolvibili contattando l'admin..., in fondo serve a limitare le iscrizioni "fake" ma se un utente mi manda una mail dicendomi di non ricevere il cod lo attivo io e basta senza creare un automatismo.
Anzi, mi può pure essere utile per cercare di capire il perchè a volte non partono le mail etc...

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione? no. (risolto)
« Risposta #11 il: 27 Apr 2012, 18:08:30 »
si ok capito.
grazie per l'aiuto a presto


scrivo risolto.

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #12 il: 27 Apr 2012, 18:44:56 »
Non capisco una cosa, ma che credenziali devi inserire perchè ti venga rispedito il link?

ps... non dirmi la mail :):)

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #13 il: 27 Apr 2012, 19:00:26 »
si email

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #14 il: 27 Apr 2012, 19:39:23 »
omg! :)

scusa ma se io mando la mail di un'altro? ...magari nella mia stessa situazione?... o magari no...
e se mando la tua?

Cioè se sono da approvare non posso loggarmi per dare a joomla la possibilità di identificarmi univocamente, deve stare all'indirizzo che io inserisco, dovrebbe esigere almeno la pw che hai inserito

.... capisci anche tu....

M.

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #15 il: 27 Apr 2012, 19:41:39 »
be ma l'email dovrebbe arrivare solo alla persona che ne ha richiesto l'attivazione...se te inserisci la mia che non mi sono registrato...non mi arriva nulla..

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #16 il: 27 Apr 2012, 19:54:19 »
quello che ti voglio dire è che è un errore grossolano di sicurezza.
Potrei essere il tuo collega e sentirti bestemmiare perchè non ti arriva la mail ... recupererei io il suo link fregandogli l'account...
sono esempi tirati per i capelli ma ti assicuro che con un po' di ragionamento quella funzionalità diventa pericolosa.... chi sviluppa non può sapere dove viene installata la sua estensione, se fosse su un sito dove inserisci dati "interessanti" avrebbero già pappato tutto.

M.

EDIT{}  ci ho pensato,... ho fatto un esempio stupido per non suggerire modalità... ed è venuta una cosa ... inutile :)
« Ultima modifica: 27 Apr 2012, 19:57:15 da mau_develop »

Offline opsosa

  • Appassionato
  • ***
  • Post: 475
  • Sesso: Maschio
  • operatore socio sanitario oss
    • Mostra profilo
Re:Bug codice attivazione?
« Risposta #17 il: 27 Apr 2012, 19:56:00 »
capisco.....grazie della segnalazione.

mau_develop

  • Visitatore
Re:Bug codice attivazione?
« Risposta #18 il: 27 Apr 2012, 19:59:11 »
si magari leggi la correzione... :) perchè anch'io spesso dico cose stupide

M.

 

Host

Torna su