رفض الوصول خطأ عند محاولة تخصيص بعض نصوص الموقع

خلل
1

أيضًا، بما أنني بدأت في هذا المسار، أحصل الآن على هذا عندما أحاول تعديل نصوص معينة في الموقع:

تُظهر الصورة رسالة خطأ "تم رفض الوصول" تشير إلى وصول مقيد إلى عنوان URL معين في واجهة مسؤول مع خيارات "العودة" أو "المحاولة مرة أخرى". (تم التعليق بواسطة الذكاء الاصطناعي)
تُظهر الصورة رسالة خطأ "تم رفض الوصول" تشير إلى وصول مقيد إلى عنوان URL معين في واجهة مسؤول مع خيارات "العودة" أو "المحاولة مرة أخرى". (تم التعليق بواسطة الذكاء الاصطناعي)935×809 16.7 KB

3 إعجابات
2

أنا قادر على تكرار ذلك. هذا هو عنوان URL الذي لا يعمل:

/admin/customize/site_texts?q=confirm%20old

4

لا أتذكر أن الرابط كان يعمل بدون معلمة locale :thinking:

/admin/customize/site_texts?q=confirm%20old&locale=en يعمل بشكل جيد بالنسبة لي.

وأعتقد أن حقيقة أنك لا تستطيع تخصيص نص “تأكيد البريد الإلكتروني القديم” أمر مقصود. إنه بريد إلكتروني يُرسل فقط إلى الموظفين.

إعجابَين (2)
5

إذًا، هل هذه مشكلة #تجربة_مستخدم أيضًا؟ لا ينبغي أن يكون من الممكن الوصول إلى صفحة غامضة بعنوان “تم رفض الوصول” عند البحث عن نصوص الموقع ثم تعديلها.

إعجابَين (2)
7

يبدو أن الرسالة المخصصة لا تصل إلى واجهة المستخدم؟

صورة
صورة749×471 21.6 KB

3 إعجابات
8

لفت انتباهي أنه منذ منشور Codinghorror، تمت إضافة إعداد require change email confirmation (يتطلب تأكيد تغيير البريد الإلكتروني). هذا يعني أنه يمكن الآن إرسال الرسالة إلى أكثر من مجرد الموظفين.

كان السبب الأصلي لحظر التعديلات على هذا القالب صحيحًا في ذلك الوقت، ولكنه اليوم يوفر حماية مختلفة. يمكن للمهاجم الذي يعرف كلمة مرور المسؤول ببساطة:

  1. استخدام كلمة المرور لإعداد المصادقة الثنائية لهذا الحساب.
  2. إنشاء حساب جديد.
  3. استخدام رمز المصادقة الثنائية لمنح الحساب الجديد حقوق المسؤول.

من هناك، يمكنهم إرسال النسخة الاحتياطية إلى عنوان بريدهم الإلكتروني الخاص دون الحاجة إلى مسؤول للنقر على رابط لتأكيد تغيير العنوان.

لذا السؤال هو: هل لا يزال حظر التعديلات على هذا القالب منطقيًا؟ يتم إرساله الآن إلى المستخدمين العاديين ولم يعد يحمي تنزيل النسخة الاحتياطية.

أيضًا، يتم الآن تثبيت Data Explorer دائمًا ويمكن استخدامه للوصول إلى قاعدة البيانات.