Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Fallo de seguridad en activación de cuenta #122

Open
Sloy opened this issue May 9, 2014 · 2 comments
Open

Fallo de seguridad en activación de cuenta #122

Sloy opened this issue May 9, 2014 · 2 comments
Labels
bug

Comments

@Sloy
Copy link
Member

Sloy commented May 9, 2014

Hay un bug con la activación de cuenta. En la url newaccount_done/<username>/ de la vista new_account_done().

Cada vez que cualquiera abre dicha url se manda un correo de activación al username. Debería cambiarse el comportamiento de esta vista para que sólo pueda enviarse tras el registro.

  1. Que sólo se envíe si el usuario no ha sido verificado aún.
  2. Que la vista sólo se ejecute por POST, enviándole el username desde la vista anterior, y que por GET redirija a la página principal sin hacer nada.

Según Git este método lo hizo @sgavmp, pero no sé si es lo que le mandó @serrodcal. Quien lo pueda corregir que se asigne el issue.
@Sloy Sloy added the bug label May 9, 2014
@serrodcal
Copy link
Member

Solucionado a modo de parche en 3202797 lo que evita lo mas urgente, que se pueda hacer spam a un usuario enviandole muchos correos de activacion usando la url.

Hay que solucionarlo mejor, usando post para enviar los datos, etc.

@Sloy
Copy link
Member Author

Sloy commented May 10, 2014

Como hay que solucionarlo mejor, mejor dejarlo abierto xD

@Sloy Sloy reopened this May 10, 2014
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@Sloy @serrodcal