Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

安全隐患非常大!

[复制链接]
woai2006 发表于 2006-5-26 15:57:18 | 显示全部楼层 |阅读模式
最近我一直在测试xs。发现了这样一个问题:

管理员可以查看所有博客的任意栏目,即使博客把一些日记设置成私人浏览的情况。也就是说管理员的权限无限大,这个问题时很严重的,因为每个博客都有自己的隐私,如果知道在这个空间毫无隐私权,谁还会过来呢?

在有,如果把某个栏目设置成好友才可以浏览,测试的结果是没有作用,也就是说不是好友的照样可以看到。不知道是不是bug,还是我测试的结果有问题,有问题也是缓存更新慢的原因,缓存慢也是个严重问题,页面已经更新了,结果其他的还未生效,造成一个漏洞,就是权限暂时失效。

个人感觉xs的管理模式是由问题的,一个是权限过大,表现在博客们没有任何隐私,管理员可以以用户身份登陆任意个人空间,这个对xs的推广是不利的。

二是管理的方式太过于原始和复杂,比如要设置推荐帖子,必须登陆到用户空间内部,然后和用户的使用方式一样来进行设置。但是你设置了,用户完全还可以改回来,结果没有到达效果。最好是设置一个提示功能,由用户自己决定是否推荐,然后管理员批准。

三是,对管理员的管理没有给与开发的重视,比如自定义功能,博客们有,站长管理里面反而没有。其实,从对程序的熟悉程度上来说,这个功能更适合站长们使用。

对否,请指教
 楼主| woai2006 发表于 2006-5-26 16:45:53 | 显示全部楼层
没有人看到?
回复

使用道具 举报

茄子 发表于 2006-5-26 18:04:55 | 显示全部楼层
谢谢您的建议,很好
不过针对
在有,如果把某个栏目设置成好友才可以浏览,测试的结果是没有作用,也就是说不是好友的照样可以看到。不知道是不是bug,还是我测试的结果有问题,有问题也是缓存更新慢的原因,缓存慢也是个严重问题,页面已经更新了,结果其他的还未生效,造成一个漏洞,就是权限暂时失效。

可能您测试的确实有问题
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-15 18:44 , Processed in 0.021332 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表