Пользователь удаляет других пользователей

#31 20 февраля 2012 в 13:52
в принципе да, нужно везде проверку на referrer делать будь то удаление профиля или блога и тп
это как-то логично

а вообще такого еще не встречал) обычно такие запросы по другому обрабатываются и делаются всплывающие окна (обычные alert'ы) с подтверждением, перед запросом на удаление чего либо. А так чтобы эта страница отвечала за подтверждение а эта за удаление…
#32 19 мая 2012 в 23:04
Почему-то эта тема вылезла, как одна из последних, хотя у нее последнее сообщение от 20 февраля.
В чем дело? Почему так?

Решена ли поднятая проблема?

P.S. Что-то для меня сегодня просто день разочарований в Инстанте какой-то, сплошные дыры.
#33 19 мая 2012 в 23:25


Почему-то эта тема вылезла, как одна из последних, хотя у нее последнее сообщение от 20 февраля.
В чем дело? Почему так?

Решена ли поднятая проблема?

P.S. Что-то для меня сегодня просто день разочарований в Инстанте какой-то, сплошные дыры.

spacer

проблема не устранена только что проверил
#34 19 мая 2012 в 23:27
CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедиться в намерениях пользователя
#35 19 мая 2012 в 23:30


CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедить в намерениях пользователя

SJen

подумаю на досуге как реализовать алерт окно в предупреждением) если получится тогда выложу)
#36 20 мая 2012 в 05:11


CyberMan, привели два варианта устранения
1. добавить вопрос "Вы действительно хотите снести свой профиль?"
2. удалить из файла код, который отвечает за удаление профиля

Это не есть дыра инстанта, пользователь же сам себя удаляет — своими активными действиями. Пусть по глупости, но сам — можно лишь добавить еще один вопросик, чтобы убедиться в намерениях пользователя

SJen

Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.
#37 20 мая 2012 в 13:44

Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.

PrimHunter
Более того. Многие тут видели фокус когда открываешь тему форума и ты оффлайн. А теперь представим что Артем закатал в том посте не выход из логина а другое… Половина пользователей теперь курила бы.
#38 20 мая 2012 в 13:58


Да, в данном случае пользователь сам нажимал на ссылку. А если совместить это с дыркой с тегом "embed" из соседней ветки — переход по этой ссылке будет автоматически при открытии сообщения. И никаких активных действий. Получил личное сообщение, открыл посмотреть что там — и все, нет тебя.

PrimHunter
Более того. Многие тут видели фокус когда открываешь тему форума и ты оффлайн. А теперь представим что Артем закатал в том посте не выход из логина а другое… Половина пользователей теперь курила бы.

Нил

ну я собственно об этом и говорил…
#39 20 мая 2012 в 15:15
PrimHunter, Думаю и ваш сайт сломали через эту дырку, когда вы заходили на сайт в свой профиль, срабатывал скрипт и отправлял ваши куки злодею, а дальше дело техники, хотя он мог разместить и вредоносную ссылку… но мое мнение ваш сайт был сломан именно таким способом, хотя я не утверждаю, я не специалист в данной области…
#40 20 мая 2012 в 15:27
Поставьте решение от Марата .
Оно работает!
Единственный недостаток, в ИЕ старых версий не работает удаление пользователя.
А в остальном все Ок!

откройте файл /components/users/frontend.php строку примерно 2119
  1.  
  2. if (isset($_REQUEST['confirm'])){
  3.  
и сразу после него вставьте
  1.  
  2. $check_uri = '/users/'.$data['id'].'/delprofile.html';
  3. $ref_uri = $inCore->getBackURL();
  4. if(!strstr($ref_uri, $check_uri)){
  5. cmsCore::addSessionMessage('Вы перешли по некорректной ссылке. Кто-то пытается удалить ваш профиль без вашего ведома. Обратитесь к администрации сайта', 'error');
  6. $inCore->redirectBack();
  7. }
  8.  
Это проверка, что пришли с нужной страницы.
#41 23 июля 2014 в 01:20
А как сделать, чтобы удалять профиль и блоги вообще мог только админ? В 1.9
#42 16 марта 2016 в 17:35
Для 1.10.6

Для запрета удаления юзерами профиля в файле /components/users/frontend.php достаточно закомментировать следующие строки

  1. есть ли удаляемый профиль
  2. // $data = cmsUser::getShortUserData($id);
  3. if (!$data) { cmsCore::error404(); }

После этого по ссылке ваш_сайт/users/.../delprofile.html будет выдавать 404. Удалить свой профиль пользователь теперь не сможет
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.