« Rev
@projoomla   864
Fwd »


Дмитрий
просмотрит файл php на сервере?
Дмитрий
полагаю, что правильно было бы хранить пароль к SMTP ящику в БД в зашифрованном виде. по аналогии с паролем юзера.
ну пароль пользователя, если ты получил доступ уже на таком уровне какяа уже разница какой там пароль, можно новый поставить
Дмитрий
@norrbits и еще момент, когда ты получил доступн на таком уровне, то зачем мне сомтреть пароль вообще? я просто взял и отправил нужные мне письма с помощью пыха
Дмитрий
и все
Дмитрий
такое, сомнительное
Eugene
@norrbits и еще момент, когда ты получил доступн на таком уровне, то зачем мне сомтреть пароль вообще? я просто взял и отправил нужные мне письма с помощью пыха
речь идет о делегировании полномочий и ограничении прав. вот у тебя онлайн бизнес. ты привлек вебмастера, он работает над сайтом - ок. доступ к почтовому ящику давать нельзя - там важная деловая переписка, конфиденциальные данные
Eugene
исходя из того, что описано выше, вебмастер может в конфиге увидеть логин и пароль
Дмитрий
то ничего не спасет
Дмитрий
никакие делегирования
Eugene
если он получил доступ к исполнению и просмотра пыха
при чем тут пых? я говорю про доступ в почтовый ящик, а не рассылку писем с сайта
Дмитрий
плагин простой
Дмитрий
и исполнить код любой
Eugene
Дим, ты не понял мысль
Дмитрий
ну ты сервису передаешь пароль прямой
Eugene
смотри. вот есть сайт. есть почта корпоративная. на том же mail.ru. так?
Дмитрий
как ты расшифровывать будешь этот хеш?
Дмитрий
на исполняющем сервере?
Дмитрий
смысл всего тогда?
Eugene
у тебя ящик info@domain.ru.
Eugene
туда доступ давать нельзя никому
Дмитрий
женя, ну овт ты сохрнаил хеш от пароля
Eugene
теперь сайт. нужно прикрутить SMTP авторизацию
Дмитрий
а передавать сервису надо прямой пароль
Дмитрий
где ты будешь обратно его из хеша?
Eugene
подмена ящика невозможнна, значит нужно указывать логин и пароль от боевого info@domain.ru
Дмитрий
на исполняющей джумлы?
Дмитрий
так это всег тогда не имеет смысла
Eugene
следовательно,. вебмастер, работая с сайтом, откроет configuration.php и увидит логин и пароль. авторизуется в корпоративной почте и получит доступ к информации, которая важна
Дмитрий
ну разверни еще сервер отдельный почтовый, где будет он только будет отсылать по smtp
Дмитрий
и там все будет
Дмитрий
а вот все на исполнящей джумле это бесползено
Дмитрий
все что ты предалаешь
Дмитрий
это отдельно своему другому серверу просто передевать кому и что отослать
Дмитрий
то есть взлом сможет только повлечь рассылку от тебя
Дмитрий
но не читку
Eugene
при чем тут взлом?
Eugene
я говорю про то, что левый чел может посмотреть пароль и зайти в почту, а не рассылать что-то с сайта
Дмитрий
ну ты не читаешь что я пишу
Дмитрий
ты предлагаешь хещ
Дмитрий
почтовику надо передавать открытый пароль
Дмитрий
значит система должна алгоритм расшифровки иметь
Дмитрий
то есть все операции в итоге бессмыслены абсолютно
Дмитрий
я загружаю плагин который запускает алгоритм расхеширования и получаю пароль
Eugene
так и как быть тогда? делать ящик noreply@domain.ru и не проверять его?
Дмитрий
конечно
Дмитрий
так и делается
Дмитрий
входящие на него вообще оборвать например запретить
Дмитрий
ты от info@domain.ru что ли отправляешь?
Дмитрий
=)))
Eugene
ты от info@domain.ru что ли отправляешь?
если php mail функция, то да, почему нет?
mmth
так и как быть тогда? делать ящик noreply@domain.ru и не проверять его?
Если ты не доверяешь программисту, смени его. Включи в договор условия о неразглашении
Eugene
Если ты не доверяешь программисту, смени его. Включи в договор условия о неразглашении
не про себя говорю,. а в целом про такую модель. есть разграничение работы, когда каждый выпонляет свой участок работы и не должен получать полный доступ к тому, что к сайту не относится (почта)
Дмитрий
делается обычно минимум две почты
Дмитрий
info и post/noreply
mmth
не про себя говорю,. а в целом про такую модель. есть разграничение работы, когда каждый выпонляет свой участок работы и не должен получать полный доступ к тому, что к сайту не относится (почта)
@tsymbalmitia ниже правильно написал, две почты. И пароли у smtp специально для приложения создаются отдельно, а не родные от ящика используются.
Дмитрий
к елси какую работу делать надо с почтой читать и много народа всякого
Дмитрий
то можно в отдельный сервис выделить и на отдельный сервак и проставить некое API между ними
Eugene
@tsymbalmitia ниже правильно написал, две почты. И пароли у smtp специально для приложения создаются отдельно, а не родные от ящика используются.
это все понятно. но не всегда уместно, чтобы письма уходили с noreply. нужно в некоторых случаях указывать рабочий ящик
Дмитрий
куда слать
Дмитрий
ответы
Eugene
ну если только так.
Дмитрий
и приписку что нет смысла отвечать на это письмо от noreply
Eugene
ок, ясно
Дмитрий
ну если только так.
ну так и делаю
Дмитрий
делают*
Дмитрий
контакнты в письмах проставляют как связаться
Дмитрий
номера телефонов и тд
Vladimir
так и как быть тогда? делать ящик noreply@domain.ru и не проверять его?
Создаётся ОТДЕЛЬНЫЙ! Емейл для отсылки почты
Vladimir
Так сделано во всех сервисах - посмотри на емейл который приходит от сбера или ещё кого-то
Vladimir
Все они приходят от емейл типа noreply
Eugene
всё понял. @tsymbalmitia @progreccor спасибо
Dmitry
https://github.com/joomla/joomla-cms/pull/36332
Dmitry
Приняли?
Почти
Sergey
Мы можем в sql при джойне взять название таблицы из значения поля основной части запроса? Или подзапросом как-то? В таблице есть колонка type и target_id, в которой название таблицы для 2-го запроса.
« Rev
@projoomla   864
Fwd »