Быстрый лёгкий надёжный форумный движок
Вы не вошли.
Страницы 1
Здравствуйте.
Сегодня обнаружил удивительную вещь.
В качестве проверки регистрируюсь с аккаунтом xxxxx и email [email protected]
Захожу администратором.
В списках пользователей нахожу этого пользователя, статус-неподтвержденный.
На e-mail администратора пришло сообщение о регистрации xxxxx. Ну какая может быть регистрация, если человек
это фейк, а в перспективе робот? Не подтвердил, до свидания.
Пробую зайти под эти логином паролем. Оппа, вхожу! И писать могу и темы создавать.
--
При нормальном раскладе, пока человек не жимнет на присланный линк, с подтверждение регистрации
в своем email, не войдешь на форум. Тут же получается, мало того, что регистрант имеет неподтвержденный статус,
он еще имеет все права (юзерские) на форуме.
--
Облазил всю админку. Ничего путного к этой теме не нашел.
Можете прокомментировать ситуацию? Может я где то с галочкой промахнулся?
Спасибо.
-----
Кажется разобрался, но как то оно странно.
После ручной смены администратором пароля пользователя xxxxx, он автоматически переходит в состояние "Участник"
Это особенность или фича?
Редактировался kingsoft (2012-09-27 18:06:18)
Offline
Неподтвержденные пользователи были всегда. Эта группа содержит тех, кто ни разу не залогинился на форуме. Тут на форуме их 67 страниц.
Да, в основном это боты (если в регистрации не стоит система защиты от них), которые по какой-то причине ни чего на форуме от себя не оставили.
А вот то, что при смене пароля админом группа меняется с неподтвержденного в пользователи возможно ошибка. Посмотрел код файла profile.php и не нашел там смены группы при изменении пароля админом.
Моя сборка FluxBB 1.5, ForkBB · сообщество
Offline
А попробуйте,
завести любого пользователя
с фейковым email
а затем зайти в админку
и сменить ему (назначить) пароль.
Он автоматически станет юзером со всеми вытекающими правами.
--
Но в группу юзеров его же админ не переводил
по идее даже есть пароль, но он по линку не подтвержден
-
Offline
Страницы 1