COTONTI.CMSWORKS.RU
Сборка фриланс-биржи на cotonti

Безопасность скрытых полей

Автор Сообщение

adovgun

#1/22.04.2015 23:33
+1

Аватар

Пользователи

Карма: +6

Добрый день! Выражаю признательность ребятам кто запилил такую биржу =)

Возник вопрос, по спрятыванию некоторый полей на страницах типа "мои настройки" "добавления и редактирование проекта"

Самый просто вариант, вырезать НЕнужные поля из кода, однако насколько я понял devkont советует просто прописывать type="hidden".

Чтобы движок отрабатывал коректно. Тут возникает фишка в том, что через фаирбаг браузера можно легко взять и поменять себе группу или любые другие параметры.
Что собствнно неправильно, так как открывает большую возможность для уезвимости)

На демо сайте я смог себе группу поменять туда обратно)

Как все таки скрывать поля правильно? 

Обыскал форум, но конретного ответа ненашол. Буду признателен за ответ.

 

Сообщения: 5

Cmsworks

#2/23.04.2015 07:53
0

Администраторы

Карма: +870

По поводу того как вы сменили группу, можете подробнее расписать ваши действия? Пофиксим в сборке обязательно.

Можно еще использовать условные конструкции в шаблоне профиля пользователя, чтобы поля выводились только для определенной группы пользователей. 

Сообщения: 2435 Доступный хостинг для ваших проектов

ANdrewZ

#3/23.04.2015 08:55
0

Аватар

Пользователи

Карма: +37

А я сменил тему себе на Market прямо на этом форуме таким образом.

Сообщения: 167

Cmsworks

#4/23.04.2015 09:20
0

Администраторы

Карма: +870

#8996 ANdrewZ:

А я сменил тему себе на Market прямо на этом форуме таким образом.

У вас не сменилась тема. Тем более принудительно установлена лишь одна тема, даже если поменяете в профиле. 

Сообщения: 2435 Доступный хостинг для ваших проектов

CrazyFreeMan

Ярослав
#5/23.04.2015 09:21
+1

Модераторы

Карма: +378

Где-то обсуждали что б сделать проверку на стороне сервера разрешение на смену группы, а по остальному скрывать полностьб через условие isadmin - ну если кто догадается дописывать полностью все поле с параметрами тогда нужно будет и с правами играться :)

Сообщения: 1255

Cmsworks

#6/23.04.2015 09:23
+1

Администраторы

Карма: +870

Предлагаю всем заинтересованным написать на форуме разработчиков Cotonti, так как эта проблема идет в самом фреймворке.

Сообщения: 2435 Доступный хостинг для ваших проектов

adovgun

#7/24.04.2015 00:39
0

Аватар

Пользователи

Карма: +6

#8995 devkont:

По поводу того как вы сменили группу, можете подробнее расписать ваши действия? Пофиксим в сборке обязательно.

Можно еще использовать условные конструкции в шаблоне профиля пользователя, чтобы поля выводились только для определенной группы пользователей. 

Вот скриншот как это сделал https://www.evernote.com/shard/s227/sh/deac563c-9b12-499f-b608-90866aa190d6/c20ac8e785047a7d11bbd25e923a7d4a

Зашол в свои настройки, открыл фаирбаг, удалил hidden и появились кнопки по замене группы.

У меня вопрос такой: Всетаки нельзя просто удалять это кусок кода из tpl файла? обязательно ли его прятать? Поясните этот момент плиз.. Заранее благодарен за ответ.

Сообщения: 5

Cmsworks

#8/24.04.2015 07:53
0

Администраторы

Карма: +870

#9029 adovgun:
#8995 devkont:

По поводу того как вы сменили группу, можете подробнее расписать ваши действия? Пофиксим в сборке обязательно.

Можно еще использовать условные конструкции в шаблоне профиля пользователя, чтобы поля выводились только для определенной группы пользователей. 

Вот скриншот как это сделал https://www.evernote.com/shard/s227/sh/deac563c-9b12-499f-b608-90866aa190d6/c20ac8e785047a7d11bbd25e923a7d4a

Зашол в свои настройки, открыл фаирбаг, удалил hidden и появились кнопки по замене группы.

У меня вопрос такой: Всетаки нельзя просто удалять это кусок кода из tpl файла? обязательно ли его прятать? Поясните этот момент плиз.. Заранее благодарен за ответ.

Странно, либо у вас старая версия, либо что-то другое. В последних версиях биржи этот кусок вообще не выводится, даже в скрытых блоках. И на стороне php тоже добавлена проверка. На демо-сайте также. Перепроверьте еще раз, пожалуйста. Для надежности тестов скачайте версию 2.6.7 и проверьте.

Сообщения: 2435 Доступный хостинг для ваших проектов