Сайт Союз покупателей

Notice: Undefined index: tasklist_type in /var/www/html/flyspray/includes/class.tpl.php(128) : eval()'d code on line 85 Notice: Undefined index: tasklist_type in /var/www/html/flyspray/includes/class.tpl.php(128) : eval()'d code on line 90
  • Состояние Назначено
  • Завершенность
    0%
  • Тип задачи Ошибка
  • Категория Пользовательская
  • Кому назначена: Виталий (bet)
  • Операционная система All
  • Критичность Высоко
  • Приоритет Обычный
  • Город Томск
  • Ожидается в версии Не решено
  • Ожидается к дате Не решено
  • Голосов за задачу 0
  • Частная задача Нет
Принадлежит проекту: Сайт Союз покупателей
Кем открыта: Гренке Юлия Александровна (0daliska) - 2018-04-06

FS#1285 - Мобильная версия - ряд проблем с правами пользователей

ВНИМАНИЕ!!! ТИКЕТЫ БЕЗ ВСЕХ ЗАПОЛНЕННЫХ ПОЛЕЙ МОГУТ БЫТЬ ПРОИГНОРИРОВАНЫ!!!

Город: Томск
ID: 87966
Мое имя пользователя: 0daliska
Моя группа пользователя: Модератор

------------------------------------------------------
Ссылка на страницу с ошибкой или как туда попасть, прочая информация
ID отчетов, брендов, информация о пользователях у которых проблема, информация о товарах с которыми проблема.
------------------------------------------------------
Проблема с правами пользователей при авторизации через телефон.
проблем на данный момент две:
Проблема 1) Есть темы, которые заблокированы, т.е. при просмотре нормальной версии форума проблем нет, никто, кроме допущенных к этой теме, писать в ней не может, зато в мобильной версии даже в заблокированных темах участник может оставить свое сообщение
Например вот эта тема https://spvtomske.ru/forum/index.php?topic=16180 заблокирована.
На обычной версии все в порядке:
https://screenshotscdn.firefoxusercontent.com/images/7075e650-33b3-4a08-8482-9e8f4e0ef851.png
А вот на мобильной версии
https://m.spvtomske.ru/forum/index/topicId/16180/
оставить сообщение не составит никакого труда
https://screenshotscdn.firefoxusercontent.com/images/7fba3d2a-bcdd-4d73-a716-f191058cef92.png
Сообщение от Jungle как раз оставлено с мобильной версии

Проблема 2 (сама важная!)
Поступила жалоба от участника loskutovan88 id 136917, что она давала доступ другому лицу в свой аккаунт, этот второй участник был авторизирован через телефон в мобильной версии. Затем, чтобы не давать более пользоваться своим аккаунтом этому другому лицу, участница изменила пароль в своем профиле, но видимо, авторизация, если произошла в мобильной версии, то она держится и другое стороннее лицо, несмотря на то, что пароль в профиле изменен, продолжает делать заказы.

Ошибку лично мне удалось без труда воспроизвести.
Подтверждаю, что возможно делать заказы с другого устройства в мобильной версии, даже если пароль пользователь изменил на сайте, разлогинился, потом заново авторизовался.

------------------------------------------------------
Описание ошибки, максимально подробно, но в то же время лаконично, без эмоций.
------------------------------------------------------
Описала выше
------------------------------------------------------
Текст ошибки если есть, в т.ч. абракадабра.
------------------------------------------------------
В мобильной версии ряд багов, которые необходимо профиксить, чем раньше, тем лучше, особенно ошибку №2, т.к. это связано с безопасностью участников

------------------------------------------------------
Действия по воспроизведению ошибки сотрудником техподдержки (что нужно нажать, в каком порядке и что куда ввести, на какой странице, в т.ч. ссылки)
------------------------------------------------------
Для ошибки 1
Авторизироваться на мобильной версии
Зайти в заблокированную тему, например, в приведенную по ссылке:
оставить сообщение в заблокированной теме
https://m.spvtomske.ru/forum/index/topicId/16180/

Для ошибки 2

Шаг 1 Зайти в тестовый аккаунт на мобильной версии

Шаг 2 Войти на сайт в обычной версии в тот же профиль (но с другого устройства или через другой браузер) и сменить пароль в своем профиле. Для чистоты эксперимента на обычной версии можете даже выйти, а потом снова зайти уже с новым паролем.

Шаг 3 На мобильной версии, где вы на шаге 1 уже были авторизированы со старым паролем, сделать заказы в закупках

Шаг 4. Зайти в свой аккаунт на обычной версии с новым паролем, который мы установили на шаге 2, и удивиться, сколько всего мы смогли добавить в корзину участнику, хотя нового пароля его не знаем

------------------------------------------------------
В приложение прикрепить скриншот и любую другую информацию которая может помочь.

______________________________________

НАСТОЯТЕЛЬНО РЕКОМЕНДОВАНО!

1. Запустите утилиту, предварительно загрузив её по ссылке: http://icecreamapps.com/ru/Screen-Recorder/
2. Сделать видео демонстрации ошибки и приложить к тикету.

This task does not depend on any other tasks.

Евгения (Jennie)
Saturday, 14 April 2018, 14:36 GMT
Очень критичный вопрос!
Гренке Юлия Александровна (0daliska)
Saturday, 14 April 2018, 14:41 GMT
Здравствуйте. Будут ли предприняты какие-то шаги по исправлению данной уязвимости мобильной версии?
Допустим покупатель или не дай бог орг зашел на сайт с телефона на мобильной версии... Все хорошо, но потом случайно теряет телефон или его подрезают воры, и.... разумеется, человек приходит домой, меняет пароли, и думает, что все хорошо.... Ан, нет, тот, у кого теперь его телефон имеет полный доступ к его аккаунту, и может делать и покупки и ходить куда угодно от его имени, несмотря, что пароль уже другой.
Будет ли что-то в этой части доработано или это баг, не заслуживающий внимания техподдержки?
Виталий (bet)
Monday, 16 April 2018, 16:16 GMT
Пока не готов ответить, задача очень трудоемкая.
Гренке Юлия Александровна (0daliska)
Wednesday, 09 May 2018, 07:23 GMT
Я понимаю, что задача трудоемкая, но она связана с безопасностью сделок на нашем СП. Какое доверие у покупателей будет к СП, если эта дыра будет продолжать существовать?
Евгения (Jennie)
Wednesday, 09 May 2018, 07:43 GMT
Опять та же покупательница пишет с просьбой решить проблему

Загрузка...