[GDRCD 5.6.0.5] Problema Password
[GDRCD 5.6.0.5] Problema Password postato il 27/01/2023 14:38:16 nel forum programmazione, gdrcd e open source
Buon pomeriggio,
anche oggi sono qui per una domanda esistenziale di cui sul forum non ho trovato risposta sul forum.
Se un utente prova a cambiare la password dal suo menu non gliela cambia. Si può fare solo dal pannello gestione.
Cosa non vedo di sbagliato?
Grazie mille!
Pagine → 1
27/01/2023 16:34:22
La possibilità da parte dell'utente di cambiare la propria password è stata disabilitata nella versione 5.6.0.4 di GDRCD, con la seguente motivazione:
kasa ha scritto:
Abbiamo ritoccato il Cambio Email da parte dell'utente, inibendo di fatto questa possibilità direttamente dall'utente per evitare di mettere in chiaro il metodo di criptazione dell'account email associato al Personaggio o, più semplicemente, un dato già criptato ed incomprensibile da leggere.
Questa funzione è a disposizione solo della Gestione allo stato attuale, ovviamente modificabile tramite i permessi a disposizione, il quale non può comunque conoscere propriamente la email ma può solo modificarla, inserendone una nuova.
Si tratta di un passaggio necessario per evitare di esporre possibili falle di sicurezza nella gestione dei dati personali dell'utente, fatto che ci ha spinto ad adottare una linea più dura in merito fino a quando non sarà possibile integrare soluzioni differenti e un poco più sicure.
Questo estratto proviene direttamente dal regolare aggiornamento che facciamo in aggiunta ai changelog delle varie release e che puoi trovare nel thread "fissato in altro" qui in Forum di Programmazione, GDRCD e Open Source, nello specifico https://www.gdr-online.com/readforum.asp?id=250579.
Detto questo, nessuno ti vieta di reintrodurre la funzionalità, ma è giusto che tu sia a conoscenza dei possibili rischi in materia di sicurezza e dati sensibili esposti. È proprio perchè vorremmo evitare di farvi incorrere in queste problematiche che abbiamo deciso di rimuovere il tutto.
Kasa.
GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.com/invite/K2eWXpvu4M
GdR-O: https://www.gdr-online.com/readforum.asp?id=250579
27/01/2023 21:37:02
kasa ha scritto: La possibilità da parte dell'utente di cambiare la propria password è stata disabilitata nella versione 5.6.0.4 di GDRCD, con la seguente motivazione:
kasa ha scritto:
Abbiamo ritoccato il Cambio Email da parte dell'utente, inibendo di fatto questa possibilità direttamente dall'utente per evitare di mettere in chiaro il metodo di criptazione dell'account email associato al Personaggio o, più semplicemente, un dato già criptato ed incomprensibile da leggere.
Questa funzione è a disposizione solo della Gestione allo stato attuale, ovviamente modificabile tramite i permessi a disposizione, il quale non può comunque conoscere propriamente la email ma può solo modificarla, inserendone una nuova.
Si tratta di un passaggio necessario per evitare di esporre possibili falle di sicurezza nella gestione dei dati personali dell'utente, fatto che ci ha spinto ad adottare una linea più dura in merito fino a quando non sarà possibile integrare soluzioni differenti e un poco più sicure.
Questo estratto proviene direttamente dal regolare aggiornamento che facciamo in aggiunta ai changelog delle varie release e che puoi trovare nel thread "fissato in altro" qui in Forum di Programmazione, GDRCD e Open Source, nello specifico https://www.gdr-online.com/readforum.asp?id=250579.
Detto questo, nessuno ti vieta di reintrodurre la funzionalità, ma è giusto che tu sia a conoscenza dei possibili rischi in materia di sicurezza e dati sensibili esposti. È proprio perchè vorremmo evitare di farvi incorrere in queste problematiche che abbiamo deciso di rimuovere il tutto.
Kasa.
Ok, tutto chiaro. Perciò è per un fattore di sicurezza che non è concesso all'utente di modificare la psw ma può solo mantenere quella data in fase di iscrizione, giusto?
27/01/2023 22:27:45 e modificato da kasa il 27/01/2023 23:22:37
Ok, sto avendo un momento di confusione e credo di aver travisato l'oggetto del quesito.
Stai segnalando che l'utente non riesce a cambiare la password o la propria email di registrazione?
Perchè il Cambio Password l'utente lo può fare da Menu Utente > Cambio Password (ne ho verificato poco fa il funzionamento, senza problemi), mentre effettivamente la email non può essere cambiata dall'utente ma solo da pannello gestione (ipotizzando una richiesta da parte dell'utente alla gestione per il cambio) per i motivi sopra esposti.
Mea culpa per la svista.
Kasa.
GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.com/invite/K2eWXpvu4M
GdR-O: https://www.gdr-online.com/readforum.asp?id=250579
28/01/2023 15:00:56
kasa ha scritto: Ok, sto avendo un momento di confusione e credo di aver travisato l'oggetto del quesito.
Stai segnalando che l'utente non riesce a cambiare la password o la propria email di registrazione?
Perchè il Cambio Password l'utente lo può fare da Menu Utente > Cambio Password (ne ho verificato poco fa il funzionamento, senza problemi), mentre effettivamente la email non può essere cambiata dall'utente ma solo da pannello gestione (ipotizzando una richiesta da parte dell'utente alla gestione per il cambio) per i motivi sopra esposti.
Mea culpa per la svista.
Kasa.
No worry. Il cambio password in realtà mi da problemi e non riesco a comprendere perchè! XD
28/01/2023 15:24:33
Riusciresti a riportare qui il contenuto di pages/user_cambio_pass.inc.php ?
Kasa.
GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.com/invite/K2eWXpvu4M
GdR-O: https://www.gdr-online.com/readforum.asp?id=250579
30/01/2023 23:15:04
kasa ha scritto: Riusciresti a riportare qui il contenuto di pages/user_cambio_pass.inc.php ?
Kasa.
Ma certo!
30/01/2023 23:16:15
<?php /*HELP: */
$row = gdrcd_query("SELECT email FROM personaggio WHERE nome = '".$_SESSION['login']."'");
$email = $row['email'];
?>
<div class="pagina_user_cambio_pass">
<!-- Titolo della pagina -->
<div class="page_title">
<h2><?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['page_name']); ?></h2>
</div>
<!-- Box principale -->
<div class="page_body">
<?php /*Cambio pass utenti*/
if($_POST['op'] == 'new') {
if((gdrcd_password_check(gdrcd_filter_email($_POST['email']),$email)) && (gdrcd_check_pass($_POST['new_pass']) === true)) {
gdrcd_query("UPDATE personaggio SET pass = '".gdrcd_encript($_POST['new_pass'])."', ultimo_cambiopass = NOW() WHERE nome = '".$_SESSION['login']."'");
gdrcd_query("INSERT INTO log (nome_interessato, autore, data_evento, codice_evento, descrizione_evento) VALUES ('".$_SESSION['login']."','".$_SESSION['login']."', NOW(), ".CHANGEDPASS." ,'".$_SERVER['REMOTE_ADDR']."')");
?>
<div class="warning">
<?php echo gdrcd_filter('out', $MESSAGE['warning']['modified']); ?>
</div>
<?php } else { ?>
<div class="error">
<?php echo gdrcd_filter('out', $MESSAGE['warning']['cant_do']); ?>
</div>
<?php }//else ?>
<div class="link_back">
<a href="main.php?page=user_cambio_pass">
<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['link']['back']); ?>
</a>
</div>
<?php }
/*Cambio pass admin*/
if(gdrcd_filter('get', $_POST['op']) == 'force') {
if(($_SESSION['permessi'] >= MODERATOR) && (gdrcd_check_pass($_POST['new_pass']) === true)) {
if($_SESSION['permessi'] == SUPERUSER) {
$query = "UPDATE personaggio SET pass = '".gdrcd_encript($_POST['new_pass'])."', ultimo_cambiopass = NOW() WHERE nome = '".gdrcd_filter_in($_POST['account'])."'";
} else {
$query = "UPDATE personaggio SET pass = '".gdrcd_encript($_POST['new_pass'])."', ultimo_cambiopass = NOW() WHERE nome = '".gdrcd_filter_in($_POST['account'])."' AND permessi < ".SUPERUSER."";
}
gdrcd_query($query);
/*Registro l'evento */
gdrcd_query("INSERT INTO log (nome_interessato, autore, data_evento, codice_evento, descrizione_evento) VALUES ('".gdrcd_filter_in($_POST['account'])."','".$_SESSION['login']."', NOW(), ".CHANGEDPASS." ,'".$_SERVER['REMOTE_ADDR']."')");
?>
<div class="warning">
<?php echo gdrcd_filter('out', $MESSAGE['warning']['modified']); ?>
</div>
<?php } else { ?>
<div class="error">
<?php echo gdrcd_filter('out', $MESSAGE['warning']['cant_do']); ?>
</div>
<?php }//else ?>
<div class="link_back">
<a href="main.php?page=user_cambio_pass">
<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['link']['back']); ?>
</a>
</div>
<?php
}
/*Visualizzazione di base*/
if(isset($_POST['op']) === false) { ?>
<div class="panels_box">
<div class="form_gioco">
<form action="main.php?page=user_cambio_pass" method="post">
<div class="form_label">
<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['email']); ?>
</div>
<div class="form_field">
<input name="email" />
</div>
<div class="form_label">
<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['new']); ?>
</div>
<div class="form_field">
<input name="new_pass" />
</div>
<div class="form_submit">
<input type="hidden" name="op" value="new" />
<input type="submit" name="nulla" value="<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['submit']['user']); ?>" />
</div>
</form>
</div>
</div>
<?php
if($_SESSION['permessi'] >= MODERATOR) {
$query = ($_SESSION['permessi'] == SUPERUSER) ? "SELECT nome FROM personaggio ORDER BY nome" : "SELECT nome FROM personaggio WHERE permessi < ".SUPERUSER." ORDER BY nome";
$result = gdrcd_query($query, 'result'); ?>
<div class="panels_box">
<div class="form_gioco">
<form action="main.php?page=user_cambio_pass" method="post">
<div class="form_label">
<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['force']); ?>
</div>
<div class="form_field">
<input name="new_pass" />
</div>
<div class="form_field">
<select name="account">
<option disabled selected><?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['change_to']); ?></option>
<?php while($row = gdrcd_query($result, 'fetch')) { ?>
<option value="<?php echo $row['nome']; ?>"><?php echo $row['nome']; ?></option>
<?php }//while
gdrcd_query($result, 'free');
?>
</select>
</div>
<div class="form_submit">
<input type="hidden" name="op" value="force" />
<input type="submit" name="nulla" value="<?php echo gdrcd_filter('out', $MESSAGE['interface']['user']['pass']['submit']['user']); ?>" />
</div>
</form>
</div>
</div>
<?php
}//if
}//if ?>
</div>
</div><!-- Box principale -->
03/02/2023 14:48:44
kasa ha scritto: Riusciresti a riportare qui il contenuto di pages/user_cambio_pass.inc.php ?
Kasa.
Ci hai trovato niente di strano?
04/02/2023 13:14:21
Ho provato tutte le possibili operazioni sulla sezione e non mi ha dato alcun errore.
Ma ti da qualche messaggio strano? Ti riporta sempre Modifica eseguita alla fine?
Kasa.
GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.com/invite/K2eWXpvu4M
GdR-O: https://www.gdr-online.com/readforum.asp?id=250579
04/02/2023 21:43:34
kasa ha scritto: Ho provato tutte le possibili operazioni sulla sezione e non mi ha dato alcun errore.
Ma ti da qualche messaggio strano? Ti riporta sempre Modifica eseguita alla fine?
Kasa.
Credo sbagliavo io qualcosa.
Ora funziona bene.
Non lo so... Scusami! E Grazie!
Discussione seguita da
Pagine → 1
Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD e Open Source Elenco Forum
Articoli, Recensioni, Interviste e altre Risorse!
Scopri le statistiche di GDR-online.com: Iscritti, generi preferiti, risorse ecc.!
EasyDoc è un applicativo web che utilizza l'xml per gestire della documentazione di un GdR
Articoli, Recensioni e altre Risorse
Dinamiche, tecniche e linguaggi dell’animazione contemporanea in questo saggio di 113 pagine!
Raccolta di icone open source utili per segnalare la presenza di contenuti critici e limiti di età di un gioco online
Accedi o Registrati
Risorse del Portale
Pubblicità
Ultime dal Portale
Feudera: UPDATE #0.41 - crafting e botteghe
Gotham - The Animated Series: Stop Temporaneo
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
Dungeons and Dragons Neverwinter: Pollo d'Aprile - Una Festa starnazzante! World of Warship: King of the Sea XV - Iscrivetevi! Arcadia Bay GdR: Poteri svelati Sigilli Infranti: Presentazione e aggiornamenti!
Mistery of Akasha → Indossa le vesti di un eroe, di un potente mago, di un feroce guerriero, in grado di cambiare le sorti del giorno che verrà. Scrivi il tuo destino!
Lost Space Project: New video on youtube - I cavalieri d'argento! Pandora Upside Down High School: Eventi On - Uova pasquali, Principatus e altro State of Survival: State Merge Dusk: [News] Inizio stagione V & Fama
Exclusive Villa GdR → Las Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.
Lextalionis Milano: Focus Errori Comuni #5
hime ha aperto un annuncio di ricerca: Brakebills GDR ricerca Master Enlisted: Note di combattimento: Mine DarkOrbit: Ban Wave Marzo 2023
Evil Awakening II → Gioco con dinamiche di PvP spintissime! In un mondo dominato dal caos c'è un solo obiettivo: distruggere tutti!
I dati del generatore di rank sono stati aggiornati!
neverhaveiever ha risposto alla discussione: Never Have I Ever: Mysteries of Laconia Bay Star Trek: Equilibrium: #News 28 da Equilibrium sulfidric ha aperto un annuncio di ricerca: Harry Potter ricerca Giocatore
Enlisted → Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!
mangamonster ha aperto un annuncio di ricerca: Monster Academia ricerca Giocatore