В плагине Simple Comment Editing обнаружил дыру
-
Редактирование и удаление комментария остается возможно даже если пользователь (или админ) разлогинился на сайте.
Что-то мне подсказывает, что вина вовсе не в этом плагине, а в другом, который позволяет оставлять комментарии и входить на сайт через соцсети. (Это случайно не Super Socializer?) Или в конфликте этих двух плагинов
Закройте эту дыру.
Но даже если виноват Simple Comment Editing.. то все равно это не сюда а к авторам плагина: https://wordpress.org/support/plugin/simple-comment-editing
Теперь о баге: Редактирование и удаление комментария остается возможно даже если пользователь (или админ) разлогинился на сайте.
Вот что значит незнание языка! Или элементарное пренебрежение к инструкции того, что устанавливаете себе на сайт.
Anonymous users can edit comments for 5 minutes.
Это из описания плагина Simple Comment Editing. А теперь переведите эту фразу на русский и вы поймете что зря морочите голову своей «дырой» себе и другим. И я как дурак повелся на ваши заблуждения.
Стыдно вам должно быть, товаристч @shmaniche 🙂
Тему наверное можно считать решенной.
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
.
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
Стыдиться не чему когда человек учиться, стыдно не учиться.
В обзоре о плагинах на который я опирался ничего не было сказано об анонимусах
С помощью этого плагина ваши посетители смогут легко редактировать свои комментарии.
https://hostiq.ua/blog/26-plugins-for-commenting/
Вот мне интересно, как плагин продолжает определять коммент пользователя в течении 5 минут, что он действительно его, если пользователь разлогинился? По IP что ли?
Upd: Проверил работу плагина на двух пользователей. Да, действительно, плагин позволяет редактировать и удалять СВОИ комментарии в течении 5 минут. При чем даже когда пользователь разлогинился. Спасибо, хоть не чужие комменты.
Скрин 1: https://yadi.sk/i/VGm41i8j3XoWXu
Скрин 2: https://yadi.sk/i/isqIgWLZ3XoWZRПроверял с одного IP, похоже не в нем дело.
В обзоре о плагинах на который я опирался
Обзоры обзорами, но главное — первоисточник. Т.е. инструкция/описание плагина или темы. Вы только что убедились насколько они (обзоры) могут быть принципиально некорректными.
Вот мне интересно, как плагин продолжает определять коммент пользователя в течении 5 минут
Я думаю это работает на основе куков.
Скрин 1: https://yadi.sk/i/VGm41i8j3XoWXu Скрин 2: https://yadi.sk/i/isqIgWLZ3XoWZПостановка вопроса с помощью скринов не всегда уместна и не всегда приветствуется на этом форуме. Надо давать ссылку на сайт, которому нужна помощь. Не случайно есть такая графа при создании нового обсуждения.
-
Ответ изменён 5 лет, 10 месяцев назад пользователем
- Тема «В плагине Simple Comment Editing обнаружил дыру» закрыта для новых ответов.
(@shmaniche)
5 лет, 10 месяцев назад
Привет всем!
Сначала несколько слов о самом плагине: Simple Comment Editing. Он позволяет пользователю сайта в течении 5 минут отредактировать или удалить свой комментарий.
Теперь о баге: Редактирование и удаление комментария остается возможно даже если пользователь (или админ) разлогинился на сайте. Закройте эту дыру.
Скриншот: https://yadi.sk/i/P5rFfgVZ3Xnjjq