Silverstripe 3.1.x更改密码:强制管理员确认当前密码

时间:2014-04-23 11:53:57

标签: silverstripe

有人能告诉我SilverStripe是否有配置选项可以启用以强制管理员用户在尝试更改密码时必须确认当前密码?

我刚从安全扫描中收到客户项目的结果,其中一个标记为中等风险的安全问题(将在60天内修复)如下:

  

描述

     

观察:

     

更改密码时,管理员用户无需输入当前密码。

     

示例受影响的网址   http://yourdomain.com/admin/myprofile

     

**截图:**   http://www.silverstripe.org/assets/Uploads/admin-myprofile.jpg

     

影响:   恶意用户通过使用会话劫持,中间人攻击,   跨站点请求伪造攻击或找到无人参与的登录会话可以   在不知道当前密码的情况下更改帐户密码。此外,当一个用户   无法更改用户名或密码,他们无法主动防范   用户凭据被泄露。

     

建议:   允许用户更改其用户名和密码是最佳做法。而且,它   应该要求用户提供他当前的密码与提供   用于重新验证用户身份的新密码。

非常感谢任何帮助。感谢。

1 个答案:

答案 0 :(得分:0)

在短期内,您可以使用DataExtension类为Member类扩展此功能,而无需修改核心。看看this reference page