Se sei un utente registrato di maxdev.it, openitalia.net, opencommercio.compuoi diventare un cliente MAXs.o.s. ed ottenere uno sconto del 10% sull'acquisto di servizi, installazioni, personalizzazioni, prodotti hosting, registrazioni di dominio.
Per ottenere il buono sconto è semplice, scrivi a bonus@maxsos.com indica il tuo nickname utilizzato ed assicurati ti scrivere dalla stessa email con la quale sei registrato, riceverai quindi un coupon, con un codice da inserire durate la fase d'ordine e con il quale potrai avere il 10% di sconto sull'aquisto dei servizi MAXs.o.s.
MAXs.o.s. Fantasia e dinamicità Italiane, qualità e servizi Canadesi
Nota: il buono sconto è valido esclusivamente per i nuovi clienti e fino al 31/12/2008
Nota: Per cortesia non postate lo stesso messaggio in diversi forum. Tutto lo staff di MAXdev e gli iscritti di questa comunità sono qui per aiutarvi e per condividere le proprie esperienze in questi forum, ma prendete l'abitudine di usare la ricerca prima di postare.
Mi sfugge un poco il senso, ma visto il commento sono dubbioso se toglierlo di mezzo e/o modificarlo. Non vorrei che il motivo di un controllo del genere mi possa essere sfuggito.
Lo schema del pemesso sembrerebbe giusto (AreafilesGetit::<id categoria>) e mi sembra corretto che si controllino gli accessi ad una data categoria.
Si tratta però della funzione user_display, che mostra gli oggetti in download. Lo stesso codice (stavolta corretto) si osserva alla linea 297 e seguenti nella user_prep_hand_out che effettivamente fornisce il file richiesto (mi sembra giusto che se l'utente non ha diritti sulla categoria il file non venga fornito).
Le righe che ho riportato invece hanno l'effetto di impedire la visualizzazione del dettaglio di un download.
Succede quindi che gli utenti che non hanno accesso "Getit" alla categoria X non possono vedere il dettaglio dei vari file in download (la restrizione di visualizzazione per una categoria si effettua altrove con lo schema Areafiles::Category <cid>::).
In sostanza mi sembra che il permesso su AreafilesGetit dovrebbe riguardare solo lo scaricamento del file, e non la visualizzazione dei dettagli (mentre per la visualizzazione dovrebbe venire usata l'apposita Areafiles::Category).
Spero di non aver scritto in maniera troppo contorta fin qui.
Un esempio di effetto "indesiderato" può essere il seguente (che appunto ho verificato nel sito che sto cercando di aggiornare alla 1.0.82x):
- gli utenti non registrati non possono accedere in visualizzazione ad alcune categorie (con permesso Areafiles::Category (x|y|...|z):: nessuno)
- gli utenti non registrati possono accedere in visualizzazione a tutto il resto delle categorie (permessi generici in lettura).
- gli utenti non registrati, però, non possono scaricare files di nessun genere (con permesso AreafilesGetit:: :: nessuno)
Il problema è che IMHO gli utenti dovrebbero comunque poter accedere ai singoli dettagli (func=display&lid=x&cid=y), cosa che non è possibile visto che per il Getit hanno accesso "nessuno" e che il codice riportato sopra fa controlli proprio sul Getit.
Il problema può sembrare di poco conto, ma gli spider dei motori di ricerca si comportano, ovviamente, come utenti non registrati e riescono quindi ad indicizzare solo le pagine contenenti l'insieme dei download disponibili (func=view&cid=x) e non le pagine di dettaglio dei singoli download (func=display&cid=x&lid=y).
Non so se sono stato chiaro nello scrivere (in caso ditemelo che cerco di spiegarmi meglio)... ad ogni modo volevo capire se c'è un motivo preciso per la presenza del codice menzionato o se si può trattare di una svista, eventualmente da correggere.
In modo da controllare l'accesso in visualizzazione all'elemento invece del getit.
Il tutto sembra funzionare senza problemi (func=display mostra il download secondo i permessi di visualizzazione), ma mi resta il dubbio, visto il commento
Citazione:
// TiMax Security check
di aver alterato qualcosa di importante. Il controllo sul getit rimane nella prep_hand_out che poi fornisce il file (e quindi lo scaricamento è impedito a chi non ha diritti)... ma è possibile che ci siano problemi di sicurezza ai quali non ho pensato e per i quali il codice proposto è stato introdotto?
PS: Per il codice precedente rettifico (ma la sostanza non cambia). L'originale è:
1 tieni presente che presto il modulo areafiles verrà completamente ribaltato, a cominciare dal nome che, a richiesta di molti utenti tornerà ad essere Downloads
2 visto cosi il codice non posso dire molto, a volte può anche capitare che vengono fatte delle modifiche, magari non rilasciate, e poi rimangono dei refusi, da quello che mi ricordo veniva data la possibilità di vedere i dettagli del download senza pero poterlo scaricare se non si era utenti registrati, in questo caso si veniva rediretti verso il login.
Dato che ci stai lavorando in modo molto attivo, potresti contattarmi ed accordarci sul lavoro, rinomaninandolo ecc, in modo cosi da lavorare una volta sola in modo più coerente, i miei contatti li trovi dappertutto.
MAXs.o.s. è alla ricerca di sviluppatori PHP/MySql esperti MDPro
Vuoi aggiornare e/o mantenere aggiornato il tuo sito e non hai il tempo e/o le competenze per farlo ?
Contattaci, potrai avere servizi professionali fatti su misura per te, numero verde 800 032 883
Sei un webmaster o un rivenditore ? stiamo preparando nuovi prodotti e servizi proprio per te, contatta MAX s.o.s.
MAX s.o.s. Fantasia e dinamicità Italiane, qualità e servizi Canadesi Web Services, hosting ed housing professionali
Realizzazione siti web, portali dinamici, E-commerce, moduli ed addons per portali.
Supporto tecnico 24/24 7/7 - Contratti assistenza e manutenzione -
Galleria con migliaia di temi grafici disponibile.
Dominio + Spazioweb illimitato + caselle email + Antivirus + Qualità ... Qualità ???? Ma davvero credi ancora alle favole ? MAXsos per l'hosting professionale, MDLite per liberare la tua fantasia sul web, il tutto facile da usare e con risultato immediato. www.maxsos.com
FAQ Forum
Cerca
Gruppi utenti
Profilo
Options forum
Discussioni controllate
Le ultime dal forum
Messaggi privati
Login
