また、この方法で進めてきたため、特定のサイトテキストを編集しようとすると、このエラーが表示されるようになりました。
これを再現できます。機能しないURLは次のとおりです。
/admin/customize/site_texts?q=confirm%20old
リンクがロケールパラメータなしで機能したことは一度もなかったように思います。
/admin/customize/site_texts?q=confirm%20old&locale=en は私にとってはうまく機能します。
また、「確認古いメール」のテキストをカスタマイズできないのは意図したものであると思います。これはスタッフにのみ送信されるメールです。
「いいね!」 2
これも#uxバグですか?サイトのテキストを検索して編集しようとしたときに、不可解な「アクセス拒否」ページにリダイレクトされるのはおかしいはずです。
「いいね!」 2
Codinghorror の投稿以降、require change email confirmation 設定が追加されたことが私の注意を引きました。これは、スタッフ以外にもメッセージを送信できるようになったことを意味します。
このテンプレートの編集をブロックする当初の理由は当時有効でしたが、今日ではそれが提供する保護は異なります。管理者パスワードを知っている攻撃者は、単に次のことができます。
- パスワードを使用して、そのアカウントの 2 要素認証を設定します。
- 新しいアカウントを作成します。
- 2FA コードを使用して、新しいアカウントに管理者権限を付与します。
そこから、管理者がアドレス変更を確認するためのリンクをクリックする必要なく、バックアップを自分のメールアドレスに送信できます。
したがって、質問は次のとおりです。このテンプレートの編集をブロックすることは、まだ理にかなっていますか?これは現在一般ユーザーにも送信されており、バックアップのダウンロードを保護しなくなりました。
また、Data Explorer は常にインストールされ、データベースにアクセスするために使用できるようになりました。