domenica 6 marzo 2016

Come evitare la visualizzazione dell'authinfo in WHMCS

Nell'area cliente di WHMCS l'utente, quando chiede l'authinfo di un dominio, ottiene che lo stesso venga visualizzato a schermo.

Questo è un grave errore, e rappresenta una grave vulnerabilità: l'authinfo deve essere noto solo ed esclusivamente al Registrante del dominio ed al Registrar, ed eventuali reseller/webmaster ecc. intermedi NON devono esserne MAI a conoscenza, per nessun motivo.

Tuttavia, risolvere il problema in WHMCS è semplice:

Modifichiamo come segue la riga evidenziata in rosso nel file /templates/six/clientareadomaingetepp.tpl:

Da

<h3>{$LANG.domaingeteppcode}</h3>
<p>
    {$LANG.domaingeteppcodeexplanation}
</p>
<br />
{if $error}
    {include file="$template/includes/alert.tpl" type="error" msg=$LANG.domaingeteppcodefailure|cat:" $error"}
{elseif $eppcode}
    {include file="$template/includes/alert.tpl" type="warning" msg=$LANG.domaingeteppcodeis|cat:" $eppcode"}
{else}
    {include file="$template/includes/alert.tpl" type="warning" msg=$LANG.domaingeteppcodeemailconfirmation}
{/if}

Cambiamo in

<h3>{$LANG.domaingeteppcode}</h3>
<p>
    {$LANG.domaingeteppcodeexplanation}
</p>
<br />
{if $error}
    {include file="$template/includes/alert.tpl" type="error" msg=$LANG.domaingeteppcodefailure|cat:" $error"}
{elseif $eppcode}
    {include file="$template/includes/alert.tpl" type="warning" msg=$LANG.domaingeteppcodeemailconfirmation}
{else}
    {include file="$template/includes/alert.tpl" type="warning" msg=$LANG.domaingeteppcodeemailconfirmation}
{/if}


Con questa modifica, quando l'utente chiederà l'authinfo, gli comparirà a schermo il messaggio:

 The EPP Code request was successful! It has been sent to the registrant email address for your domain.

NOTA: si consiglia di effettuare la modifica non nel tema originale ("six", nell'esempio sopra riportato), ma all'interno di un proprio tema custom (che, per quanto riguarda tutto il resto, può anche essere identico a quello di default).
Altrimenti questa modifica (come pure ogni eventuale altra modifica o personalizzazione) potrebbe venir persa in occasione di futuri aggiornamenti.
Inoltre questa modifica preclude solo la visualizzazione dell'authinfo all'utente, ma non fa in modo che lo stesso venga effettivamente mandato per email al Registrante: questo è un altro paio di maniche, e magari ve ne parlerò un'altra volta... ;-)



1 commento:

  1. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina