логинза ломает пароли!

#1 21 марта 2011 в 16:37
поставил на сайт логинзу. версия движка 1.7
Допустим есть пользователь у меня на сайте vasya. Если с Яндекса пользователь vasya@yandex.ru через логинзу попадает ко мне на с сайт, то он попадает в профиль пользователя у меня на сайте vasya и владеет его данными.
косяк
#2 21 марта 2011 в 20:37
Я не пользовался логинзой или еще какими то open id но тут скорей всего не логинза "ломае" пароли а какой то косяк с установкой настройкой этой истории ведь не случайно гость с яндекса попадает именно к васе? скорей всего где то стоит этот вася по умолчанию вася это реальный персонаж который вообще не при делах или созданный админом для отработки и тестов той же логинзы? скорей всего сами где то упустили я так думаю)
#3 21 марта 2011 в 20:53
vasya реальный пользователь на сайте.
а vasya@yandex.ru тоже реальный, но он не знаком с первым vasya, но тем не менее незаметно для себя смог получить управление над профилем vasya на моем сайте.
Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер.
#4 21 марта 2011 в 21:29

Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер

Санчес
Есть какие нибудь более конкретные предложения?
Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели
#5 21 марта 2011 в 21:33


Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер

Санчес
Есть какие нибудь более конкретные предложения?
Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели ...

Madmax
никто ни на кого не надеялся. Я в основном хотел предупредить других, чтобы не удивлялись когда у них пароли юзеров пропадать начнут.
Гдето в инстанте не хватает проверки есть ли такой юзер или нет.
Если есть такой, то к имени пользователя можно добавлять например домен сервиса что передал имя пользователя.
Думаю что сам не разберусь как сделать такую проверку.
#6 21 марта 2011 в 21:37


Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели ...

Madmax
в plugin.php
есть такие строки по проверке, но они видимо не работают:
==============================
// ищем такого пользователя
$user_id = $this->getUserByIdentity($profile->identity);

// если пользователя нет, создаем
if (!$user_id){
$user_id = $this->createUser($profile);
}
=======================
#7 21 марта 2011 в 21:57
выяснил что если такой юзер есть, то логинза добавляет еще одного с таким же логином.
и новоявленный двойник попадает в профиль оригинального, первосозданного юзера.
#8 21 марта 2011 в 22:13
Санчес, мораль сей басни такова ...
Некорректно называть так посты, некорректно писать, что виновата InstantCMS ...
Корректно — это попытаться разобраться в проблеме и если, что то не понятно — обратиться к более компетентным, товарищам по цеху…
#9 21 марта 2011 в 23:06


Санчес, мораль сей басни такова ...

Madmax
Простите все те кого я мог обидеть некорректными высказываниями и нападками.
По моему разумению это не басня. Если хоть один юзер потеряет свой логин, то для админа это уже не будет басней.
Пост так назвал чтобы народ предостеречь. Немало кто юзает такую связку.
Макс, я знаю что ты голова и можешь спасти сообщество от нашествия потерянных душ. Пожалуйста.
#10 21 марта 2011 в 23:24
Санчес, с любой проблемой нужно переспать — так умные люди говорят ...
Я думаю — будет единственно правильный вариант — от самых компетентных лиц…
#11 22 марта 2011 в 00:30
Только что не поленился и проверил, при занятом логине создает нового пользователя вида user+lastID+1, зачем народ дезинформировать?
Проверка на занятость логина на самом деле тут:
  1. // проверяем занятость логина
  2. //
  3. if ($already['login']==$login){
  4. // если логин занят, добавляем к нему ID
  5. $max = $inDB->get_fields('cms_users', 'id>0', 'id', 'id DESC');
  6. $login .= ($max['id']+1);
  7. }
  8.  
#12 22 марта 2011 в 00:55


Только что не поленился и проверил, при занятом логине создает нового пользователя вида user+lastID+1, зачем народ дезинформировать?

googlebot
такой код у меня тоже есть. но у меня создается пользователь с таким же логином и я сразу попадаю в профиль уже имеющегося пользователя. Пользовался Яндексом.
#13 29 марта 2011 в 04:31
… и как в итоге решается данная проблема? Что скажут специалисты?
#14 29 марта 2011 в 05:42
Скорей всего никакой угрозы в использовании loginza нет
#15 30 марта 2011 в 17:42

Скорей всего никакой угрозы в использовании loginza нет

walter
Я поражаюсь уверенности ответа!!! А вы пробовали?????? Проблема на самом деле есть и она критична!!! Взламываются пользователи!!!
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.