D8, возможно, имеет уязвимости при выборе имени пользователя admin

Аватар пользователя tlito tlito 27 июля 2016 в 18:17
2

Админская учетная запись - это учетная запись создателя сайта. Она создается при установке, причем имя пользователя можно устанавливать любое.

Если сменить имя пользователя на не "admin", тогда у администратора с этим новым именем будет запрещен доступ к IMCE.
Это происходит потому, что в Д8 учетной записи создателя сайта не присвоена роль Администратор, эта роль как-то "мнится по-другому",скорее всего, свзана с id=1.

Только если назначить роль Administrator, которая по умолчанию не назначена первой учетной записи (создателя сайта), только тогда будет доступ к IMCE.

Возможно, если не будет пользователя с именем admin, и кто-либо зарегистрируется с таким именем, то он получит доступ к IMCE, а может быть, и к другим админским сервисам.

Комментарии