🌍
Français
Bonjour,
Je penche plutôt pour des curieux, qui veulent voir sans s'inscrire, et je le comprends.
Bonjour le Forum
A la demande de Nicco je récapitule :
- 1) Lors de l'envoi du M@il de confirmation d'inscription celui qui demande la validation de l'inscription si l'adresse Em@il est fausse. Il faut le supprimé de la liste des Utilisateurs en cours de validation.
- 2) Si une personne s'inscrit et ne valide pas son inscription. Au bout d'un certain temps (variable si possible, en jour) il est supprimé de la liste des Utilisateurs en cours de validation.
- 3) Si un Utilisateur (donc il a été validé) ne reviens pas visiter le site au bout d'un certain temps (variable si possible, en jour) il est supprimé de la liste des Utilisateurs.
- 4) Pour les points 2 et 3 prévoir l'envoi d'un M@il un certain temps avant (variable si possible, en jour) le déclenchement des procédures 2 et 3
Voila pour moi voir peut être avec Vimages et Eric, si ils n'ont pas d'autres doléances.
D'avance merci.
désolé après plusieurs moi je suis de retour ...
et je vais essayer de me pencher sur le sujet !
Patricia un ptit résumé pour me faire gagner du temps ;o]
Bonsoir le Forum
C'est pour très bientôt !
Enfin je crois.
Bonsoir le Forum
Il nous l'avais promis pour .... !
Au c'était pour quand ?
;-]
Nicco a écrit:
dans l'etat actuel je ne sais si il peut t'aider ... mais effectivement parmis toutes les modifs que je dois lui apporter pourquoi ne pas ajouter le fait de ne rien changer pour le user tant qu'il n est pas validé ( webmaster mail non visible )
Bah, c'est déjà le cas, il me semble. Perso, j'utilise ton plugin de manière à ce que les users qui n'ont pas validé leur mail via le lien qui leur est envoyé n'ont aucun accès à la galerie (grâce à la gestion de groupes). En y ajoutant le fait qu'une adresse email doit être unique en BDD et la sensibilité à la casse, çà fait déjà un sacré filtre contre les éventuels indélicats.
Reste le fait qu'il faut supprimer manuellement les users non validés. Mais c'est une opération assez rapide et, selon les évolutions demandées au sujet du plugin, notre ami Nicco ne va pas tarder à nous sortir une version avec purge auto des users non valides après x temps... ;-)
Salut,
dans l'etat actuel je ne sais si il peut t'aider ... mais effectivement parmis toutes les modifs que je dois lui apporter pourquoi ne pas ajouter le fait de ne rien changer pour le user tant qu'il n est pas validé ( webmaster mail non visible )
a+
Salut !
En lisant ce fil, je me suis demandé si le plugin AdvancedUserManager de Nicco ne te serait pas utile. Au moins, les utilisateurs sans adresse mail valide ne pourraient pas accéder à ta galerie et limiterait les conséquences d'une éventuelle attaque.
Je vois les choses exactement comme cela moi aussi.
Il me semble que PWG est plutôt sur. Quand au serveur, c'est une autre histoire... à chacun de faire au mieux.. et à moi de le gérer.
Mais comme je ne connais pas tout, je préfère poser des questions et essayer de comprendre...
merci.
éric.
Nous ne pouvons pas t'assurer que le code est exempt de faille de sécurité.
Notre conviction est que la version de base ne présente pas de faille connue sur un environnement serveur sécurisé.
On va peut être dire que je joue sur les mots, donc je détaille ce que cela signifie.
1 - Si le serveur est bien paramétré et que lui même ne présente pas de faille...
2 - Si le site utilise bien la dernière release stable disponible (dans notre cas actuellement 1.7.1)
3 - Si les plugins mis en oeuvre ne créent pas une faille
4 - Si le webmaster se limite de lui-même à des techniques qu'il maîtrise, ou à des changements réputés corrects.
Alors:
- le risque de saturation du serveur est possible (le plugin AntiAspi est une bonne réponse même si elle reste partielle).
- les risques de rebond (script), d'altération de la base de données, et autres mauvaises plaisanteries sont relativement faibles.
8-)
Oui, je sais bien , mais il faut relativiser... je sais bien que des images sont quelques fois utilisées sans mon accord, c'est ennuyeux, mais pas mortel.. c'est moins grave qu'un effaçage des données, photos, BDD.. ou autres..
Mon inquiétude est plutôt sur une attaque brute et malveillante soit destructrice, soit, conduisant à l'utilisation du serveur comme relais dans des actions vers des sites tiers... dans les deux cas, le serveur serait au mieux, ralenti, au pire inaccessible.
Pour résumer, mes photos sont sauvegardées, les BDD aussi, mais une mise hors ligne des serveurs serait très préjudiciable pour ma fragile activité.
L'enregistrement libre, mais géré cad. qui ne donne aucun accès supplémentaire ou des accès très limités, ne présente pas de risque en soi à un détail près.
L'adresse du webmaster devient accessible en pied de page, ce qui augmente le risque de spam.
Ta galerie malgré tout excite la curiosité de personnes pas forcément bien intentionnées.
D'autant plus qu'elles savent qu'un certain nombre d'images interdites d'accès sont présentes sur ton site.
8-?
Bonjour à tous.
J'ai presque tous les jours, en tout cas plusieurs fois par semaine, des utilisateurs qui s'enregistrent sur mon serveur principal avec des noms du type wwxdfghjmk , codes et adresses similaires.. soit, bidon, n'importe quoi... quoi que..
Les enchainement de lettres, ou les fausses adresses mail laissent penser que ce peut être une ou quelques personnes qui renouvèlent régulièrement ces enregistrements.
Un enregistrement, non associé par moi à des dossiers du serveur, ne donne accès à rien.. il est sans intérêt.
J'efface ces utilisateurs au fur et à mesure..
Est-ce juste des coïncidences, des visites inoffensives, ou peut-on imaginer que ces enregistrements sont utilisés d'une façon ou d'une autre ?
merci.
éric.