Muito bom o módulo!

Olá

Fiz alguns testes e o módulo funcionou somente no Internet Explorer

em navegadores como Firefox, Chrome o autologin não funciona

alguém passou por isso ou tem a solução ?

JÁ SOLUCIONEI O PROBLEMA

Editado Outubro 6, 2011 em 22:28 Out 6, 2011 por filipeapsilva
JÁ SOLUCIONEI O PROBLEMA

Olá gente.

Qualquer módulo que envie a informação necessaria para acesso (token, e-mail e ID) de forma FIXA (invariavel) em uma URL abre sim uma brecha de segurança pois qualquer pessoa que acesssar o historico do navegador do sujeito vai conseguir acessar a conta dele no WHMCS.

O ideal é que o token seja composto por um valor timestamp (uma data) pois assim depois de um tempo ele iria expirar e o link ficaria inválido.

Eu até cheguei a uma solução para isso adicionando um script PHP no home do WHMCS e algumas linhas PHP nos templates de e-mail mas achei muito pouco elegante a solução, apesar de funcionar bem.

Estou pensando em uma forma de solucionar isso de forma mais elegante.

O cara ao clicar no link da fatura cai em uma tela com a seguinte informação:

Este link que você usou para acessar a fatura expirou!

Nosso sistema acaba de enviar um novo link válido para essa fatura. 

Por favor verifique seu e-mail e clique no novo link!

Nisso o cara receberia um novo link com uma validade de X horas e depois esse link automaticamente iria expirar.

O que vocês acham?

OBS.: Quero deixar claro que não estou dizendo que o modulo disponível aqui é RUIM. Acredito que essa "falha" é mais culpa do WHMCS do que do módulo em si. Essas URLs de acesso direto deveriam ser geradas pelo próprio WHMCS e o sistema deveria permitir que adicionassemos elas nos TEMPLATES de e-mail. Ou PELO menos o token deveria ser gerado dentro do sistema de forma que pudessemos adiciona-lo nos templates de e-mail e em caso de token expirado o sistema deveria enviar um novo link de acesso. Isso é culpa do WHMCS que é feito pensando no próprio umbigo sem pensar nos clientes dos seus clientes.

Editado Outubro 17, 2011 em 01:31 Out 17, 2011 por eloimarquessilva

@eloimarquessilva

Acho que o ideal seria que a página de faturas não precisasse de login.

Assim a pessoa poderia acessar e ver, se quiser pagar ok...

Ahh, e também se quisesse acessar as outras páginas o whmcs, ai sim teria que se logar.

Acho que mais valeria apena se pedíssemos ao Matt a opção de não precisar de login.

Que que você acham? deixem suas opiniões.

Na verdade o que queria mesmo era um módulo de boleto que não usasse a página invoices.php do WHMCS.

Tentei uma vez algo parecido com o Carlo mas sem sucesso,

Ele conseguiu resolver meu problema com outra solução.

O Carlo ou Marcelo da 11 teriam interesse em desenvolver algo assim?

Quanto cobrariam para fazer isso?

www.whmcs.com/boleto.php?invoice=767676

Pra utilizar o boleto.php no lugar de viewinvoices.php vc pode adicionar uma linha no .htaccess

RewriteRule ^boleto.php(.*)$ ./viewinvoice.php?$1 [QSA]

Pra utilizar o boleto.php no lugar de viewinvoices.php vc pode adicionar uma linha no .htaccess

RewriteRule ^boleto.php(.*)$ ./viewinvoice.php?$1 [QSA]

Opá Marcelo,

Acho que você me entendeu errado.

Talvez também tenha me expressado errado, mas vamos lá...

Quando quis me referir ao arquivo boleto.php que ele seria parecido com o invoices.php mas não precisaria de login.

Assim o cliente iria acessar

www.whmcs.com/invoices.pho?id=767676 pediria usuário e senha e acessaria a página do whmcs(como todo whmcs sem autologin).

www.whmcs.com/boleto.php?invoice=767676 seria uma página que seria usada somente para gerar boletos bancários. que não precisasse de se logar.

Assim o cliente acessaria sua fatura e pagaria tranquilamente.

Se ele quisesse acessar qualquer página do seu WHMCS, ai sim teria que entrar com usuário e senha.

Deu para entender a ideia?

Também poderíamos utilizar outros métodos de pagamentos.

Abração.

Parebéns pela contribuição!

Obrigado por disponibilizar.

@genial,

Se você comentar ou remover as linhas 27-30 do arquivo /modules/gateways/boleto/boleto.php

if ((($_SESSION["uid"]!=$userid)OR(!$id))AND(!$_SESSION['adminid'])) {

echo "Invalid Access Attempt";

exit;

}

O cliente poderá acessar o boleto sem precisar logar...

Exemplo http://seuwhmcs.com/modules/gateways/boleto/boleto.php?invoiceid=XXXX Aonde XXXX é o id da sua invoice.

Editando o e-mail template (Invoice Created) basta colocar assim no link

{$whmcs_url}/modules/gateways/boleto/boleto.php?invoiceid={$invoice_id}

Assim você não vai precisar de AutoLogin ou qualquer artificio. Uma desvantagem é que qualquer pessoa poderá visualizar os dados ( nome, endereço e etc... ) de outro cliente pois basta trocar o número da Invoice.

Editado Outubro 18, 2011 em 10:56 Out 18, 2011 por edvan
Complemento...