Kijin Sung
7d508f50bd
Remove unnecessary grant of admin rights on nonexistent documents
2017-03-02 21:02:49 +09:00
Kijin Sung
238d97e4ab
Restrict effect of setGrant() to current request
...
앞으로 또 발견될지도 모르는 보안 취약점으로 인한 피해를 줄이기 위해
문서나 댓글에 대하여 setGrant()를 호출하더라도 해당 세션 전체가 아닌
하나의 요청 내에서만 관리권한을 부여받도록 고칩니다.
세션 전체에 관리 권한을 부여하려면 새로 추가된 setGrantForSession()
메소드를 사용하여야 하며, 이것은 함부로 사용해서는 안됩니다.
그동안 getDocument(), getComment() 등에 $is_admin 파라미터가 너무
남용되어 왔으므로, 이 권한을 제한하는 것만으로도 서드파티 호환성에
미치는 영향을 최소화하면서 상당한 효과가 있을 것으로 보입니다.
2017-03-02 20:41:36 +09:00
Kijin Sung
9615d85d81
Remove admin rights from all widget document methods
2017-03-02 20:19:23 +09:00
Kijin Sung
87648f49d4
Fix point for attached files when updating document
2017-03-02 18:03:14 +09:00
Kijin Sung
dafbfadc93
Add option to keep existing group when point is reduced #610
2017-03-02 17:47:50 +09:00
Kijin Sung
9791808b87
General cleanup of trigger handling in point.class.php
2017-03-02 17:13:27 +09:00
Kijin Sung
33d36f7a51
General cleanup of point.model.php
2017-03-02 16:56:19 +09:00
Kijin Sung
e370ba680f
Improve shared caching and invalidation of member points
2017-03-02 16:52:33 +09:00
Kijin Sung
5b22b0399c
Fix double-deduction of comment points on document deletion
2017-03-02 16:45:15 +09:00
Kijin Sung
0d2db40e02
Don't double-subtract points when deleting document or comment with attached files
2017-03-02 16:35:35 +09:00
Kijin Sung
da2be81260
Add and subtract points for comment attachments
2017-03-02 16:30:57 +09:00
Kijin Sung
590b11aa23
Refactor all remaining triggers in Point module
2017-03-02 16:09:38 +09:00
Kijin Sung
0b71f425ed
Cache module config in point triggers
2017-03-02 15:03:45 +09:00
Kijin Sung
d4136f9081
Refactor triggerInsertMember() and triggerAfterLogin()
2017-03-02 14:57:43 +09:00
Kijin Sung
d4ccf4222d
Refactor triggerUpdateVotedCount()
2017-03-02 14:15:04 +09:00
Kijin Sung
c86c3a16de
Implement _getModulePointConfig() and clean up read/download triggers
2017-03-02 13:11:21 +09:00
Kijin Sung
4ddf8cf91f
Fix #735 downloading files without points
...
- 포인트 부족시 다운로드를 금지하더라도 비회원에게 적용되지 않는 문제 해결
- 비회원이 첨부한 파일을 비회원이 다운로드하는 경우 적용되지 않는 문제 해결
- 해당 트리거 구조개선 및 주석 수정
2017-03-02 11:43:56 +09:00
Kijin Sung
1bd32d8d71
Fix unauthorized manipulation of documents via procDocumentManageCheckedDocument
...
xpressengine/xe-core#2044
2017-03-02 00:05:06 +09:00
Kijin Sung
dc84dd1310
Fix unauthorized config manipulation in document and comment modules
...
Reported by @conory
2017-03-01 23:35:12 +09:00
Kijin Sung
210b6b4147
Merge branch 'develop' into pr/multidomain
2017-03-01 21:50:51 +09:00
Min-Soo Kim
f1c24a4690
Merge pull request #731 from misol/develop
...
SSL 인증서에 대한 설명 강화, 추천 설정 표시
2017-03-01 20:47:21 +09:00
MinSoo Kim
caa54b4032
English and Chinese translation additon for SSL settings
...
Chinese translated by Google.
2017-03-01 20:18:23 +09:00
MinSoo Kim
76aebe0653
Clean up description page codes... We need translators..
2017-03-01 20:05:59 +09:00
Kijin Sung
1233919dba
Fix missing default font config under some circumstances
2017-03-01 14:25:18 +09:00
MinSoo Kim
fe1076795d
SSL 인증서에 대한 설명 강화, 추천 설정 표시
...
https://github.com/rhymix/rhymix/issues/706 관련
2017-02-28 22:22:46 +09:00
MinSoo Kim
9d26290b89
새 언어 로드 방식으로 변경.
2017-02-28 21:25:31 +09:00
MinSoo Kim
912ea46c55
Issue #717 definitize tabindex of log-in form.
...
Set clear the tabindex of login form input elements for keyboard user
experiences.
2017-02-28 21:22:06 +09:00
BJRambo
1bd4eb8cb9
오류모듈 모바일스킨에서도 인자를 사용할 수 있도록 고침
2017-02-28 19:06:23 +09:00
Kijin Sung
34c11c4344
Fix use of undefined variable
2017-02-28 16:41:17 +09:00
BJRambo
45a2470dd8
Fix the messageMobile::dispMessage() declaration for compatibility with messageView::dispMessage(=NULL)
2017-02-28 06:52:02 +09:00
Kijin Sung
beb67dc5c5
Merge branch 'pr/security-fixes' into develop
2017-02-27 16:16:33 +09:00
Kijin Sung
d074e5e9b5
Increase security of autologin keys
2017-02-27 15:55:04 +09:00
Kijin Sung
78540fbc13
Fix potential caching of partial module info
2017-02-26 15:37:41 +09:00
Kijin Sung
e823ce045b
Fix potential problem caused by caching of partial member info
2017-02-26 15:32:31 +09:00
Min-Soo Kim
5140047b5f
네모의 꿈/ 컨텐츠 위젯 스킨 ( #712 )
...
## 컨텐츠 모듈 스킨
- 사이트 테마를 따르지 않고 다른 색을 선택할 수 있도록 네모의 꿈 회원 스킨 컬러셋 추가.
- 탭이 많을 때 터치 환경이 아니면 좌우로 넘기기 어려운 점을 고려하여서 메뉴를 펼침.
- 작은 화면에서 화면을 최대한 활용하도록, 레이아웃 햄버거 메뉴를 부드럽게 나타내고 감춥니다.
## 위젯에서 LESS/SCSS 의 사용
- 변수를 위젯 캐시에도 전달할 수 있도록 해서 LESS 나 SCSS 에 값 전달이 가능하도록 함.
- LESS 나 SCSS 를 사용한 경우에 위젯 코드 캐싱 코드가 적절하게 기록되도록 해서 LESS나 SCSS 를 사용
가능하도록 수정.
## 그 외 변화
- Reduce the number of regular expressions.
2017-02-26 01:05:57 +09:00
Kijin Sung
01ca005cf5
Fix editor module to prevent modification of editor config by non-admins
2017-02-26 00:07:48 +09:00
Kijin Sung
f3871e5cd3
Fix exposure of other members' point and level info via getMembersPointInto API call
2017-02-25 23:35:52 +09:00
Kijin Sung
1c45a5fc1c
Fix unauthorized modification and deletion of documents via widget controller
2017-02-25 23:01:16 +09:00
conory
b1ba031117
알림센터 구버전의 활성화 설정을 가져와서 셋팅하도록 개선
2017-02-25 21:15:54 +09:00
conory
8843f8b05d
업데이트시 발생할 수 있는 오류 수정
...
Uncaught TypeError: Argument 1 passed to array first() must be of the type array
2017-02-25 20:46:38 +09:00
Kijin Sung
f3a43d071e
Fix vulnerability in procMemberDeleteSavedDocument
2017-02-25 15:08:42 +09:00
Kijin Sung
6df32746c3
Refresh isAccessible() if document or comment is updated
...
https://www.xetown.com/qna/510717
2017-02-24 15:47:01 +09:00
bnu
628242a387
Fix #2036 XEVE-17-003 커뮤니케이션 모듈의 쪽지를 임의로 삭제할 수 있는 문제 고침
2017-02-23 16:06:17 +09:00
Kijin Sung
ad21b1e706
Fix warning in fileAdminView when upload target type does not exist
2017-02-22 23:11:29 +09:00
Kijin Sung
4ee115e4f3
Improve server environment display
2017-02-22 19:49:49 +09:00
bnu
954d2c7ec6
Fix #2035 XEVE-17-002 쉬운 설치 페이지에서 발생하는 보안 취약점 고침
...
- 제보자 : 최봉환(stayp05)
2017-02-22 16:46:34 +09:00
Kijin Sung
a5c2783cf5
Implement domain management screen in admin module
2017-02-22 16:46:05 +09:00
Kijin Sung
b88bedf9fd
Return more data from getAllDomains()
2017-02-22 16:45:45 +09:00
Kijin Sung
37a0aa0f13
Implement moduleModel::getAllDomains()
2017-02-22 14:52:48 +09:00
Kijin Sung
94c45958c4
Refactor domain info loading functions
2017-02-22 14:31:16 +09:00
