PDA

Zobacz pełną wersję : zabezpieczenia



hazael
11-04-2006, 21:47
Nie rozumiem, dlaczego moj temat dotyczacy zabezpieczen zostal zlikwidowany, skoro jest to powazna sprawa. Jestem troszke podlamany, bo teraz jak widze, to prawie kazda podstrone dowolnego serwisu mozna tak obejsc.

dla przykladu podam jedną ze stron, ktora wykonuje i to mnie bardzo irytuje -
jest sobie adres:
http://www.jaavadj.com/component/option,com_virtuemart/Itemid,58/

wszystko pieknie ladnie nie moge wejsc w miejsce docelowe, bo wymaga rejestracji. no ale zmieniam sobie numer Itemid,58 na dowolnie inny np 50 i juz mam uprawnienia.
Oczywiscie podobnie jest z kazdym innym komponentem/artykulem ird..

Drugim dziwnym problemem jest to, ze do tego przykladowego sklepu sa przypisane moduły, ktore wyswietlane sa tez na innych podstronach i na kazdej podstronie jest przypisane inne Itemid, mimo, ze odnosi sie do tego samego miejsca. w taki sam sposob moge sobie wejsc do sklepu i zobaczyc jego zawartosc.

Na innej stronie mam np komponent Zoom Gallery i tam tez są fotki tylko dla zarejestrowanych. Zmieniam numer i moge widziecto czego dusza zapragnie... :-/

Pracuje nad systemem SMS premium - bedzie mozna miec dostep do serwisu jedynie po wyslaniu odpowiedniego smsa. Teraz pytanie po co to wsyzstko skoro ktos cwany to i tak sobie tam wejdzie? :confused:

Rybik
12-04-2006, 00:37
Kazdy element/obrazek/produkt musi miec atrybut ze jest tylko dla zarejestrowanych, samo oflagowanie linka nic nie da it o jest raczej oczywiste. Nieprawdą jest, że dzieje się tak dla każdego artykułu co dzisiaj sprawdzałem, po ustawieniu artykułowu reg-only nijak nie da się na niego wejść ... nie siej herezji.

nexus246
12-04-2006, 11:13
Masz ostatnią wersję 1.0.8? Tam są poprawki odnośnie bezpieczeństwa. I już pisałem w zlikwidowanym wątku. Zakładać registered na poszczególne artykuły/kategorie/sekcje.

hazael
12-04-2006, 12:16
mam ostatnią wersje Joomla, załozyłem dostep do sklepu virtuemart z poziomu menu głownego tylko dla zarejestrowanych uzytkownikow. Wszystko dziala tak jak sie zakladało, ale w tym adresie wystarczy aby ktos sobie zmienił sam numer itemid i juz widzi jakie produkty mam w swojej ofercie. Zadnego innego sensownego rozwiązania nie znalazłem. W samym sklepie mozna tylko ukryc ceny dla uzytkownikow zarejestrowanych, ale to mi nie wystarcza. Ja chce miec wszystko poukrywane. No i jak juz wczesniej pisalem - moduly ktore pokazują sie na innych stronach mają automatycznie przydzielony numer Itemid zalezny od miejsca w ktorym są postawione. czyli np moge sobie wejsc na luzie do sklepu z innej podstrony i zobaczyc co jest w sprzedazy bez koniecznosci rejestracji.

Rybik
12-04-2006, 12:50
oo widze ze sam doszedles do wniosku ze to VM a nie Joomla ... lepiej pozno niz wcale

nexus246
12-04-2006, 13:31
Faktycznie jest to spory błąd ale łatwo go rozwiązać - sprawdź na początku szablonu Itemid i zrób przekierowanie jeśli został podmieniony na niewłaściwy.

hazael
12-04-2006, 13:39
tzn jak, bo nie bardzo zrozumialem?:(

nexus246
12-04-2006, 13:47
if(mosGetParam($_REQUEST,'Itemid',0)!=numer_twojeg o_Itemid)
{
header('Location:adres_dla_kombinatorow);
}

hazael
12-04-2006, 13:49
Ciekawe rozwiazanie - na to bym nie wpadł :)

dzieki!:D

Rybik
12-04-2006, 15:00
Nexus - moglbys to jakos opisac, mam zacmienie a rozwiazanie wydaje sie fajne, nie znam kodu od podszewki i o ile sama operacja wydaje mi sie przejrzysta w sensie if'a to nie bardzo znam dzialanie parametrow itemID.
Przy okazji moze zglos to razem z rozwiazaniem do bugtrackera VM (oczywiscie w imieniu PJC :) )

hazael
12-04-2006, 15:26
nie trzeba sie zagłębiac w zródło. Wystarczy zrobic sobie prosty moduł i umiescic w nim ten skrypcik z odpowiednimi ustawieniami. a nastepnie podpiąc go w miejsce gdzie znajduje sie dana podstrona, ktorą chcemy ukryc. Własnie to przetestowalem i dziala rewelacyjnie:)

Chociaz nie tak do konca, bo moduł przypisany jest znowu pewnej numeracji dla Itemid - zmienimy sobie liczbe i moduł tez zniknie.
Jednak trzeba to wstawic w szablon komponentu