Ошибка «Access Denied» при попытке изменить некоторые тексты на сайте

Внести вклад Ошибка
1

Кроме того, с тех пор как я начал двигаться по этому пути, при попытке редактировать определенные тексты сайта я вижу следующее:

На изображении показано сообщение об ошибке «Доступ запрещен», указывающее на ограниченный доступ к конкретному URL в интерфейсе администратора, с вариантами «Назад» или «Попробовать снова». (Подпись сгенерирована ИИ)
На изображении показано сообщение об ошибке «Доступ запрещен», указывающее на ограниченный доступ к конкретному URL в интерфейсе администратора, с вариантами «Назад» или «Попробовать снова». (Подпись сгенерирована ИИ)935×809 16.7 KB

4 лайка
Ability to return more than 50 site texts in the admin panel
Typo in Japanese translation: user_notifications.confirm_old_email.text_body_template
2

Отличное замечание, и извините за задержку с ответом! В следующий раз создайте тему с тегом bug, чтобы привлечь к ней внимание быстрее!

Мне удалось воспроизвести это здесь, на meta, и на моем личном сайте, используя URL из вашего скриншота.

/admin/customize/site_texts?q=confirm%20old

4

Кажется, я не припоминаю, чтобы эта ссылка когда-либо работала без параметра локали :thinking:

/admin/customize/site_texts?q=confirm%20old&locale=en у меня работает нормально.

И, я думаю, тот факт, что вы не можете настроить текст «подтвердить старый email», является намеренным. Это письмо отправляется только сотрудникам.

3 лайка
5

Значит, это тоже ошибка в ux? Не должно быть возможности попасть на загадочную страницу «Доступ запрещён» при поиске текстов сайта и последующем их редактировании.

2 лайка
7

Похоже, что пользовательский интерфейс не получает пользовательское сообщение?

image
image749×471 21.6 KB

3 лайка
8

Мне стало известно, что со времени публикации на Codinghorror была добавлена настройка «Требовать подтверждение смены email». Это означает, что сообщение теперь может быть отправлено не только сотрудникам.

Исходная причина блокировки редактирования этого шаблона была обоснована на тот момент, но сегодня защита, которую он обеспечивает, изменилась. Злоумышленник, знающий пароль администратора, может просто:

  1. Использовать пароль для настройки двухфакторной аутентификации для этой учётной записи.
  2. Создать новую учётную запись.
  3. Использовать код 2FA, чтобы предоставить новой учётной записи права администратора.

После этого они могут отправить резервную копию на свой собственный адрес электронной почты, не требуя от администратора перехода по ссылке для подтверждения смены адреса.

Таким образом, вопрос в следующем: имеет ли смысл продолжать блокировать редактирование этого шаблона? Теперь он отправляется обычным пользователям и больше не защищает загрузку резервной копии.

Кроме того, Data Explorer теперь всегда установлен и может использоваться для доступа к базе данных.

1 лайк
9

Действительно, и решение заключается в том, чтобы не показывать их при фильтрации или поиске.

11

Разве не находить ничего более запутывает, чем видеть сообщение об ошибке, которое должно быть показано? А как насчет того факта, что это больше не отправляется только сотрудникам и больше не требуется для загрузки резервной копии?

1 лайк
12

Эта тема была автоматически закрыта через 14 часов. Новые ответы больше не принимаются.