Допустим есть пользователь у меня на сайте vasya. Если с Яндекса пользователь vasya@yandex.ru через логинзу попадает ко мне на с сайт, то он попадает в профиль пользователя у меня на сайте vasya и владеет его данными.
косяк
а vasya@yandex.ru тоже реальный, но он не знаком с первым vasya, но тем не менее незаметно для себя смог получить управление над профилем vasya на моем сайте.
Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер.
Есть какие нибудь более конкретные предложения?Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер
Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели…
никто ни на кого не надеялся. Я в основном хотел предупредить других, чтобы не удивлялись когда у них пароли юзеров пропадать начнут.
Есть какие нибудь более конкретные предложения?Конечно виновата не логинза, виноват инстант, который не проверил есть ли такой юзер
Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели ...
Гдето в инстанте не хватает проверки есть ли такой юзер или нет.
Если есть такой, то к имени пользователя можно добавлять например домен сервиса что передал имя пользователя.
Думаю что сам не разберусь как сделать такую проверку.
в plugin.php
Или все просто сводиться у банальному — Я на вас понадеялся, а вы меня подвели ...
есть такие строки по проверке, но они видимо не работают:
==============================
// ищем такого пользователя
$user_id = $this->getUserByIdentity($profile->identity);
// если пользователя нет, создаем
if (!$user_id){
$user_id = $this->createUser($profile);
}
=======================
и новоявленный двойник попадает в профиль оригинального, первосозданного юзера.
Некорректно называть так посты, некорректно писать, что виновата InstantCMS ...
Корректно — это попытаться разобраться в проблеме и если, что то не понятно — обратиться к более компетентным, товарищам по цеху…
Простите все те кого я мог обидеть некорректными высказываниями и нападками.
Санчес, мораль сей басни такова ...
По моему разумению это не басня. Если хоть один юзер потеряет свой логин, то для админа это уже не будет басней.
Пост так назвал чтобы народ предостеречь. Немало кто юзает такую связку.
Макс, я знаю что ты голова и можешь спасти сообщество от нашествия потерянных душ. Пожалуйста.
Я думаю — будет единственно правильный вариант — от самых компетентных лиц…
Проверка на занятость логина на самом деле тут:
// проверяем занятость логина // if ($already['login']==$login){ // если логин занят, добавляем к нему ID $max = $inDB->get_fields('cms_users', 'id>0', 'id', 'id DESC'); $login .= ($max['id']+1); }
такой код у меня тоже есть. но у меня создается пользователь с таким же логином и я сразу попадаю в профиль уже имеющегося пользователя. Пользовался Яндексом.
Только что не поленился и проверил, при занятом логине создает нового пользователя вида user+lastID+1, зачем народ дезинформировать?
Я поражаюсь уверенности ответа!!! А вы пробовали?????? Проблема на самом деле есть и она критична!!! Взламываются пользователи!!!Скорей всего никакой угрозы в использовании loginza нет