On Tuesday 20 October 2009, Edgar wrote: > Visto che non pensavo di scatenare un interesse simile , avendo > probabilmente scambiato per vulnerabilita', una serie di accessi come > utente non autorizzato a due siti plone , e considerato anche che plone > non lo uso, e non ne conosco le varie possibilita' e particolarita' di > gestione, sarei comunque interessato a conoscere come ci si possa > registrare ed attivare una serie di pagine con link a falsi motori di > ricerca,come utente ai due siti, dato che in entrami i casi non mi pare > esista un form di registrazione ...
Ciao, hanno tolto il link a 'join_form' ma non hanno tolto il permesso 'add portal member' all'utente anonimo, quindi chiamando la form dal browser si può ancora creare un utente. Come ulteriore errore di configurazione non hanno disattivato la creazione della home, unico posto in cui un utente con il solo ruolo Member possa creare dei contenuti. Il motivo per cui i contenuti sono visibili è dovuto al fatto che l'amministratore del sito ha alterato il workflow standard di quella versione (mi pare la 2.5) o ha dato il permesso 'review portal content' agli utenti con ruolo Member (o Owner) in modo che possano pubblicarsi i contenuti, per default in quella versione i contenuti sono visibili ma non ricercabili cioè per un utente anonimo sapendo la url sono in grado di vederli ma non facendo una ricerca. > .... Quando si scrive di captcha e > login vi riferite forse ad un accesso eseguito inviando qualche comando > diretto al server e non da pagina web ?? Esiste un prodotto che modifica la join_form aggiungendo un campo captcha (una immagine con dei numeri o una frase che va copiato nella form) in modo da evitare che un bot possa crearsi in automatico una serie di account, in ogni caso deve passare via web. Nota che zope/plone non sono soggetti ad attacchi di tipo sql injection. Ti rimando qui per ulteriori info: http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zodb http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zope-is-secure > Per completezza riporto le 2 URL complete incriminate... > > sito 1 > http://www.comune.cene.bg.it/Members/Insurance/renters-insurance-davis-cali >fornia/ > > sito 2 > http://intranet.comune.argenta.fe.it/PoloScolastico/Members/Rosetta/rosetta >-stone-discovery-site > > > Saluti > > Edgar from Bangkok -- Riccardo Lemmi Email: [email protected] Reflab S.r.l. - Plone Design, Development and Consulting Phone: +39 349 4620820 http://www.reflab.it
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ Plone-IT mailing list [email protected] http://lists.plone.org/mailman/listinfo/plone-it http://www.nabble.com/Plone---Italy-f21728.html
