29 октября 2010 в 14:51
Что я наблюдаю при подключении модуля content profile к учетной записи.
При просмотре то ли материала content profile или заход в профил, я оказываюсь в учетной записи просматриваемого пользователя.
Сразу не сообразил действительно ли модуль такое вытворяет, но отключив привязку его к учетной записи все нормально.
Если кто-то сталкивался с этим не подскажете в чем все таки причина?
Может в чем-то ошибаюсь, но такое наблюдаю.
Комментарии
Там есть настройка редиректов в типе контента. Это фича, позволяющая держать все в одном месте — либо в профиле, либо на странице юзера. Обычно выбирается второе, т.к. профиль выводится как часть страницы юзера.
не нахожу
Повторю проблему более подробней.
При использовании модуля content profile и создание далее учетных записей наблюдаю следующее.....
При просмотре то ли материала content profile или заход в профиль юзера, я как АНОНИМ на сайте оказываюсь УЧЕТКЕ данного ЮЗЕРА, к которому относиться контен или профиль.
ТО ЕСТЬ выходит дыра в безопасности, любой посетитель просмотрев данные пользователя АВТОМАТОМ попадает в его учетку.
В чем же причина происходящего, если кто-то сталкивался с этим отзовитесь
Учетная запись не является приватным местом на сайте, если не ограничивать туда доступ специально, посему описанное поведение вряд ли можно назвать оишбочным, а тем более уязвимостью безопасности.
но пока не был использован данный модуль и созданы учетные записи при его использовании такого не была.
после отключения content profile по привязки его к профилю юзера и последующи просмотр профиля юзера - такой проблемы не наблюдается.
заход в контент материала content profile - опять тоже самое.
так какое решение верное в данном случае?
Верное решение — разобраться как работает система. Можно начать с исследования, чем блокировался доступ к аууаунту в обычном режиме.
как блокировать это ясно, но по чему аноним становиться зарегистрированным автоматом при просмотре материала content profile ?
Такое бывает, когда при работе с объектом текущего пользователя $user не клонируют его с помощью drupal_clone() а модифицируют напрямую. Например, забыли поставить лишний знак "=" и вместо оператора сравнения срабатывает присвоение.
Где это происходит у вас на сайте - это уже вам предстоит выяснить самостоятельно.
Crea, спасибо это уже как раз ближе.
убрал темизацию материала content profile и все востановилось.
в темизации присутсвует такая строка <?php $user = user_load($node->uid); ?>, от нее может ?
Конечно.