Безопасность нового плагина - Вход в личный кабинет Архив

3

Всем доброго времени суток. Сегодня увидел новый плагин "Вход в личный кабинет", зайдя и прочитав описание я сразу понял, что этот плагин позволяет залогиниться под любой учётной записью.Теперь каждый менеджер, у которого есть минимальный доступ к приложению Магазин, может авторизоваться как админ и сделать с проектом что хочет. Для переавторизации достаточно перейти по специальной ссылке с идентификатором контакта....

Думаю стоит присмотреться к данному функционалу, т.к. у покупателей плагина могут возникнуть проблемы из-за таких инцидентов с нелегальными авторизациями.

6 комментариев

  • +2
    creative-office.ru creative-office.ru 10 августа 2017 21:14 #

    Так надо было https://www.webasyst.ru/store/plugin/contacts/pass... ставить ))) там таких проблем нет )))

    • +2
      Genasyst Genasyst 10 августа 2017 21:15 #

      Твой я тоже разбирал.... доступ не всегда есть и палевно с твоим работать...

      • +2
        creative-office.ru creative-office.ru 10 августа 2017 21:59 #

        Фу, противный, лови минуса )))))

        • +2
          Genasyst Genasyst 10 августа 2017 22:16 #

          Да уж.... При таком раскладе когда появится критическая уязвимость я не буду писать, чтобы не минусовали.

        • +2
          Михаил Ушенин Михаил Ушенин Webasyst 11 августа 2017 09:45 #

          Спасибо! Отправили сообщение разработчику плагина.

          • +1
            Genasyst Genasyst 11 августа 2017 09:48 #

            Думаю там стоит сделать проверку, что покупатель не является пользователем бекенда.

            Эта тема в архиве. Добавление комментариев к ней отключено.