Eppure chi conosce il programma può ancora indirizzarsi direttamente alla pagina del blog.

Non si può rinominare in qualche modo a piacere quella cartella?

Protezione JS?

Mhmmmm, c'è sicuramente qualcosa che mi sfugge... 

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Ciao Lemo. Per accedere: ID= user1; pwd= user1

La pagina-7.php l'ho settata nella sezione esperto per non farla comparire nella sitemap.

L'unico problema che rimane è il percorso standard e non personalizzabile per il blog; bisognerebbe poter scegliere un nome arbitrario per la cartella come si può fare per i commenti dei guestbooks.

Ripeto: che c'entra JS in tutto questo?

Poi:

http://answers.websitex5.com/post/42623#4

Che cosa hai sperimentato di "nuovo"?

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

ho capito, non c'entrava niente; me lo ha generato il forum che non lo fa comparire; lo vado a togliere dal sito

se ti logghi puoi vedere lo javascript da te stesso

Capito il mistero: lo javascript non mi proteggeva proprio niente; era la normale protezione di WSX5 a fare il suo lavoro. Lo script che avevo inserito io per essere efficace andava associato, credo, con un altro file contenente una libreria esterna di utenti autorizzati e con un modulo di login proprio. Mi sembrava troppo bello...

Comunque il codice che avevo inserito era questo:

<script type="text/javascript">
<!--
if (parent.frames.length==0)
[removed].replace("http://prove.bottegadelwebmaster.com/imlogin.php")
//-->
</script>

Fabio, con JS "proteggi" solo lato client.

Il codice che ho visto è identico a questo:

http://answers.websitex5.com/post/33938#24

... che Answers ha potato ed aggiunto [removed]

... che tu evidentemente hai ricopiato da Answers

... che al mercato mio padre comprò

Scusa la battuta, mi è venuta spontanea 

Credo che nei vari post che ho letto (soprattutto quelli di Serzio), hai avuto consigli e avvertimenti utili ma sperimentare fa sempre bene

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Oops, non ho aggiornato la pagina prima di inviare ma va bene così

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

No, il codice l'ho preso da un pdf relativo ad un altro package che non cito per non far finire anche questo post nell'oblio del limbo di Answer.

Ho cercato di adattarlo io pasticciando da profano per farlo lavorare insieme al modulo di gestione accessi di WSX5.

Se vuoi saperne di più scrivimi alla mia email.

Appunto

http://www.webalice.it/lemonsong/js_blog.png

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

ma leggendo il codice in foto ti suggerisce qualche idea per modificarlo secondo le mie intenzioni? Sarebbe una conquista vantaggiosa anche per WSX5...no?

Si, tu l'avevi già detto ed hai ragione, ma c'e' ben poco di tornare alla carica su questo argomento .... è così e basta. 

http://www.unofficialwsx5.com

Ok, questo aspetto che per voi era scontato io lo sto imparando adesso e ne prendo atto; ma come si può fare la stessa cosa intervenendo lato server? Idee?

Non mi sono spiegato: con htaccess si preclude l'accesso all'intero dominio/sottodominio, giusto?

Il problema è riservare l'accesso al blog e basta. Forse l'unica è il php

Scusa Serzio, ma con questo sistema si può fare anche il logout senza cancellare la cache del browser?

ragazzi ce l'ho fatta usando solo WSX5; però non riesco ad aumentare l'altezza dell'iframe:

http://prove.bottegadelwebmaster.com/index.html

In che senso?!?! Non capisco cosa tu abbia ottenuto:

http://prove.bottegadelwebmaster.com/blog/

Ci entri anche senza validazione.

http://www.unofficialwsx5.com

Ciao Serzio; rinfresca la tua cache...

Nel link del logout:

blogprivato.bottegadelwebmaster.com/res/imlogout.php

... si può "intuire" dove hai il vero blog:

blogprivato.bottegadelwebmaster.com/blog/

... senza protezione.

Sei su server Apache perché non provi quello che ti ha detto Serzio, visto che:

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Oops, scusa Silver, ho letto prima qui

Questo l'ho letto ora:

http://answers.websitex5.com/post/42623#6

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Ciao Lemo, ciao Silver: mi sono scolato la birra troppo presto!!!

x Lemo:

ancora per Lemo e per Serzio:

http://answers.websitex5.com/post/29745

" non dovrebbe scontrarsi con la limitazione d'accesso del file htaccess?" Quale limitazione di accesso? Sei sicuro che ce ne sia una? Sei sicuro che si tratti di una limitazione di accesso? E sei sicuro che la limitazione sia attivabile solo su alcuni file php piuttosto che altri e che soprattutto sia attiva su file di cui non ne conosci il nome pur consentendo l'accesso agli altri? Con il FilesMatch puoi facilmente inibire l'accesso ai files con determinate estensioni o con dei nomi specifici, ma a meno che tu non sia in grado di realizzare una espressione regolare che "separi" i file allegati (e quindi con nomi non prevedibili a meno della struttura con nomefile_aaaammgghhmmssxxxxxx.ext) da quelli del sito ... la vedo dura ... forse fattibile, ma difficile ... sarebbe già meglio se gli allegati venissero inseriti in una cartella separata da tutto il resto. Inoltre dobbiamo anche ricordare che le cose più si fanno difficili e maggiore è la probabilità che ci sia qualcosa di sbagliato.

Allora il mio pensiero è che forse, piuttosto che studiare un .htaccess che possa andar bene, ammesso che ci sia, è sicuramente meglio risolvere il problema a monte, mascherando l'estensione.

Sono lusingato che tu scriva il mio nick vicino a quello di Serzio ma io sono solo un semplice smanettone e non credo nemmeno di aver capito la questione: lì si parla di un exploit, tu devi/dovresti solo provare a proteggere una cartella.

Serzio provvederà sicuramente a "diradare la nebbia" (pure la mia eh?)

_______ oltre il 5° step ________

http://www.unofficialwsx5.com

Errata Corrige. 

Nel post precedente ho erroneamente attribuito la causa dell'exploit ad un if-then-else ... non avevo letto attentamente a quale topic Fabio si fosse riferito ed ho pensato che fosse quello del grave bug sulla gestione delle aree riservate .... per inciso, stiamo ancora aspettando la patch promessa per la versione 8 che mi sembra che sia ancora commercializzata ... con il problema incluso nel prezzo .... ehm ... senza costi aggiuntivi  ... ma affrettatevi poichè l'offerta potrebbe scadere da un momento all'altro. 

A parte gli scherzi, il problema riferito nel topic precedente era causato dalla gestione superficiale dei nomi attribuiti agli allegati alle email.

Entrambi i bachetti sono attualmente risolti per la versione 9, mentre il primo permane nella 8 e non ho effettuato test per il secondo.

http://www.unofficialwsx5.com

Sì, d'accordo Serzio. Ho riportato quella citazione perchè intendevo dire che, a prescindere dal propblema specifico di quell'altro topic, mi sembrava di aver capito dalle tue parole che per ottenere una efficace limitazione di accesso il file .htaccess, anche disponendo di un Apache, potesse essere un palliativo. Forse avevo frainteso.

In effetti in questo topic mi hai pubblicato un esempio perfettamente funzionante che mi ha convinto che allora non era così sballata l'ipotesi che avevo lanciato in quel topic.

E poi c'è però l'altra domanda che ho fatto: col metodo di .htaccess si può fare anche il logout?

Grazie

No. Non esiste un metodo per fare il logout .... nel mio esempio su http://www.serzio.it/evo9/bloghtaccess ho usato un trucco che simula un logout, ma è una cosa che fa letteralmente pena. Ho sfruttato il trucchetto di far eseguire un nuovo login con un utente non esistente ed è l'unico metodo per aggirare l'ostacolo.

La riga i questione è la seguente da inserire post-editando il file index.php direttamente nella cartella del blog:

Ma fammi capire, tu vuoi proteggere l'intero blog oppure solo l'inserimento dei commenti lasciando il blog visibile?

http://www.unofficialwsx5.com