Одному сотруднику пришло такое вот письмо:
/*-----------------------------------------------------------*/
Надо же, самый впечатляющий портал 2013
года - [Спам]
То что вы искали.
Тут самый незабываемый источник
информации [Спам]
.....................................
Результаты могут быть просмотрены тут:
http://site.ru/node/39/submission/11
/*-----------------------------------------------------------*/
Где http://site.ru - сайт фирмы на которой работает получатель письма. Мне сказали, что при заходе из письма на http://site.ru/node/39/submission/11 браузер отсылает пароль от сайта злому хаккеру. Насколько это правда?
Почта у сотрудника http://www.i.ua/
Это все равно на каком сайте почту держать?
Спрашиваю потому что Drupal - многопользовательская система и часто надо давать пусть ограниченный но все равно модераторский аккаунт.
Комментарии
Это стандартный урл ответов модуля webform.
Браузер может отослать куку модератора, если друпал шестой - то его так хакнуть проще, чем 7.
Проверь формат ввода, который юзается в заполнении полей вебформы, возможно через него могут заслать вредоносный js.
А знаешь че, когда на мыло уведомление приходит - пусть приходят и все заполненные поля. Почта точно всю гадость порежет и ты точно будешь видеть-есть ли какой-то мутный js или нет.
Ага. А ссыль на страницу сабмишн убрать! И еще права выставить, чтобы на эти страницы всем кроме админа был 403.
По адресу http://site.ru/node/39 - действительно Вебформ и там D6.
Формат ввода - filterd html
Какие поля?
Данные полей, которые заполняются в Webform
Вот настройки уведомления на мыло.
Даже если воткнут js - на мыло придёт так
И в админке будет тоже
Так что не ссы и не слушай всяких
бестолковых наёбщиковобманщиков, а повышай свой уровень знаний друпала.