Riccardo Lemmi ha scritto:
On Tuesday 20 October 2009, Yuri wrote:
Francesco Benincasa ha scritto:
* martedì 20 ottobre 2009, alle 09:36, Francesco Benincasa scrive:
* martedì 20 ottobre 2009, alle 09:31, Yuri scrive:
http://edetools.blogspot.com/2009/10/plone-zope-ancora-problemi-per-sit
i-it.html
Ad una prima vista sembra semplicemente che non abbiano nessun controllo
degli accessi, credo che un semplice captcha sarebbe bastato. Non sembra
affatto una vulnerabilita'.
Intendo dire non controllo degli accessi, scusate (a quest'ora di mattina
non connetto ancora bene), ma delle iscrizioni al portale. Se si lascia
l'iscrizione libera, senza captcha e senza approvazione preventiva di un
manager, queste cose possono succedere, come si puo' facilmente
immaginare. Parlo per esperienza :-)
Diciamo che non esistono molte alternative, non vedo prodotti "con
approvazione preventiva di un manager" :)
Se proprio si ha un numero di iscrizioni elevato si possono mettere membrane e
remember (che non sono proprio da tutti) e comunque richiedono un lavoro
aggiuntivo di approvazione. Nei casi più semplici basta disattivare la join,
la creazione della home e sostituire la join con una form che invia una mail
di richiesta al gestore del portale.
E crea l'utente senza "poteri", in modo che possa essere cancellato.
Nella mail ci dovrebbe essere un link diretto alla cancellazione
dell'utente. Stile mailing list, insomma.
È un peccato che non abbiano mai migliorato questa parte, anche se ho
visto questa PLIP per Plone 4.0:
http://dev.plone.org/plone/ticket/9310
=================
* Merge the used branches:
* merge https://svn.plone.org/svn/plone/Plone/branches/plip9310-flexible-member-registration/
into https://svn.plone.org/svn/plone/Plone/branches/4.0/
(r30489)
A merge in two parts, [28069:28274] and [28275:30488], because r28275 was a merge of
the current 4.0 branch unwise back into the plip-branch. (Unwise, in retrospect.)
* merge https://svn.plone.org/svn/plone/plone.app.users/branches/plip9310-flexible-member-registration
into https://svn.plone.org/svn/plone/plone.app.users/trunk/
(r30468)
Also done:
* use z3c.autoinclude (r30493)
* modify rendering so it looks like other user/group configlets (r30494)
* fix import of PloneMessageFactory (r30492)
* merge https://svn.plone.org/svn/plone/plone.app.controlpanel/branches/plip9310-flexible-member-registration
into https://svn.plone.org/svn/plone/plone.app.controlpanel/trunk/
(Merge not needed (trunk has 'utils' module), so not done.)
* merge https://svn.plone.org/svn/plone/plone.app.form/branches/plip9310-flexible-member-registration/
into https://svn.plone.org/svn/plone/plone.app.form/trunk/
(r30463)
(No real merge, just added '<metal:block define-slot="authenticator">' to pageform.pt.)
* Merge buildout:
* Added plone.app.users to sources.cfg (r30490)
* Added plone.app.users to Plone 4.0's egg dependencies (r30491)
* Made sure buildout uses trunk version of plone.app.form
* Checkout and run new version of buildout
=====================
* Delete PLIP9310-branches (r30503, r30504, r30505, r30506)
------------------------------------------------------------------------
_______________________________________________
Plone-IT mailing list
[email protected]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html
_______________________________________________
Plone-IT mailing list
[email protected]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html
