Accesso negato errore durante la personalizzazione di alcuni testi del sito

jordan-violet · 5 Febbraio 2025, 4:41am

Inoltre, da quando ho intrapreso questa strada, ora ricevo questo quando tento di modificare determinati testi del sito:

tobiaseigen · 8 Agosto 2025, 3:39pm

Sono in grado di replicarlo. È questo URL che non funziona:

/admin/customize/site_texts?q=confirm%20old

Moin · 8 Agosto 2025, 3:48pm

Non ricordo che il link abbia mai funzionato senza un parametro di locale

/admin/customize/site_texts?q=confirm%20old&locale=en funziona bene per me.

E penso che il fatto che tu non possa personalizzare il testo “conferma vecchia email” sia intenzionale. È un’email inviata solo allo staff.

codinghorror:

Tuttavia

l’hacker ha modificato il template della vecchia email di conferma dello staff, in modo che includesse l’URL “sì, valida questa vecchia modifica dell’email” e una volta che questo è stato inviato alla vecchia email e cliccato, l’hacker ha improvvisamente avuto il permesso di cambiare la vecchia email in una nuova che controlla

Tieni presente che si tratta di un attacco molto sofisticato e approfondito, e avrebbe potuto essere fermato a molti livelli superiori con pratiche già fortemente raccomandate, basta leggere i riquadri con la lampadina sopra.

Tuttavia, crediamo fermamente nell’essere sicuri per impostazione predefinita in Discourse, e pensiamo che ci sia altro che possiamo fare dopo aver analizzato attentamente questa storia. Di conseguenza, abbiamo appena implementato una modifica tale che nessuno, nemmeno un amministratore, può modificare quel particolare template di email. Crediamo che sia un caso raro, ma vale la pena affrontarlo, perché:

questo particolare template di email viene inviato solo allo staff in caso di cambio email, poiché sia l’indirizzo email vecchio che quello nuovo devono essere confermati. Per un utente normale solo il nuovo indirizzo email deve essere confermato. Quindi modificare questo template per motivi di design estetico sarebbe visto solo dallo staff, mai dagli utenti normali, ed è quindi irrilevante.

il rischio di consentire agli amministratori di modificare questo template è troppo alto, come illustrato dalla storia REALE di cui sopra che è effettivamente accaduta, ed è stato il passaggio critico che ha permesso all’attaccante di accedere al database completo di Discourse.

tobiaseigen · 8 Agosto 2025, 3:53pm

Quindi questo è anche un bug di UX? Non dovrebbe essere possibile finire su una pagina criptica “Accesso negato” quando si cercano testi del sito e poi li si modifica.

RGJ · 8 Agosto 2025, 7:14pm

Sembra che il messaggio personalizzato non venga visualizzato nell’interfaccia utente?

Moin · 9 Agosto 2025, 12:27pm

Mi è stato segnalato che, a partire dal post di Codinghorror, è stata aggiunta l’impostazione richiedi conferma email di modifica. Ciò significa che il messaggio ora può essere inviato anche a utenti non staff.

Il motivo originale per bloccare le modifiche a questo modello era valido all’epoca, ma oggi la protezione che offre è diversa. Un aggressore che conosce la password di un amministratore può semplicemente:

Usare la password per configurare l’autenticazione a due fattori per quell’account.
Creare un nuovo account.
Usare il codice 2FA per concedere all’account nuovo i diritti di amministratore.

Da lì, possono inviare il backup al proprio indirizzo email senza bisogno che un amministratore clicchi su un link per confermare una modifica dell’indirizzo.

Quindi la domanda è: bloccare le modifiche a questo modello ha ancora senso? Ora viene inviato agli utenti normali e non protegge più il download di un backup.

Inoltre, Data Explorer è ora sempre installato e può essere utilizzato per accedere al database.

zogstrip · 24 Dicembre 2025, 12:56pm

È proprio così e la soluzione è non mostrarli quando si filtra/cerca per essi

github.com/discourse/discourse

FIX: Filter restricted email template keys from site text search

main ← fix-filter-restricted-email-template-keys-from-site-text-search

opened 12:55PM - 24 Dec 25 UTC

ZogStriP

+235 -242

Admins searching for "confirm_old_email" in site texts would see the restricted …keys in results, click them, and hit a confusing "Access Denied" page. Now these keys are filtered out of search results entirely. Also added `confirm_old_email_add` to the restricted list - it was missing but has the same restriction need as `confirm_old_email`. Refactored so `SiteTextsController::RESTRICTED_KEYS` is the single source of truth, with `EmailTemplatesController` deriving from it. Ref - https://meta.discourse.org/t/377902 Ref - https://meta.discourse.org/t/392070 **No more listed in email templates** <img width="1418" height="1001" alt="2025-12-24 @ 13 49 22" src="https://github.com/user-attachments/assets/339f69c5-2068-4683-9ba9-71e2393f5ac2" /> **No more listed in site texts** <img width="1418" height="1001" alt="2025-12-24 @ 13 48 16" src="https://github.com/user-attachments/assets/10eff780-d8ec-4a9a-83e4-6d521d31e5ea" />

Moin · 24 Dicembre 2025, 7:18pm

Non è più confuso non trovare nulla rispetto al vedere il messaggio di errore che dovrebbe essere mostrato? E che dire del fatto che questo non venga più inviato solo al personale e non sia più richiesto per scaricare un backup?

zogstrip · 25 Dicembre 2025, 7:00am

Questo argomento è stato chiuso automaticamente dopo 14 ore. Non sono più consentite nuove risposte.

Argomento		Risposte	Visualizzazioni
Access Denied while editing old email address confirmation UX	8	960	Ottobre 24, 2019
Better error message for uneditable "user_notifications.confirm_old_email" texts UX	3	998	Maggio 15, 2025
Some of Site Texts doesn't accept changes Support	10	723	Settembre 30, 2020
How do I edit the email template for the welcoming email? Support	10	5113	Dicembre 6, 2015
How to change the account confirm email content Support	12	5222	Novembre 27, 2015

Accesso negato errore durante la personalizzazione di alcuni testi del sito

Argomenti correlati