Ir para conteúdo
  • Cadastre-se

Autologin WHMCS Grátis

genial-76

Por genial-76
em Gerenciadores de hospedagem

 Compartilhar

Posts Recomendados

eloimarquessilva

eloimarquessilva

Postado
Postado (editado)

Olá gente.

Qualquer módulo que envie a informação necessaria para acesso (token, e-mail e ID) de forma FIXA (invariavel) em uma URL abre sim uma brecha de segurança pois qualquer pessoa que acesssar o historico do navegador do sujeito vai conseguir acessar a conta dele no WHMCS.

O ideal é que o token seja composto por um valor timestamp (uma data) pois assim depois de um tempo ele iria expirar e o link ficaria inválido.

Eu até cheguei a uma solução para isso adicionando um script PHP no home do WHMCS e algumas linhas PHP nos templates de e-mail mas achei muito pouco elegante a solução, apesar de funcionar bem.

Estou pensando em uma forma de solucionar isso de forma mais elegante.

O cara ao clicar no link da fatura cai em uma tela com a seguinte informação:


Este link que você usou para acessar a fatura expirou!

Nosso sistema acaba de enviar um novo link válido para essa fatura. 

Por favor verifique seu e-mail e clique no novo link!

Nisso o cara receberia um novo link com uma validade de X horas e depois esse link automaticamente iria expirar.

O que vocês acham?

OBS.: Quero deixar claro que não estou dizendo que o modulo disponível aqui é RUIM. Acredito que essa "falha" é mais culpa do WHMCS do que do módulo em si. Essas URLs de acesso direto deveriam ser geradas pelo próprio WHMCS e o sistema deveria permitir que adicionassemos elas nos TEMPLATES de e-mail. Ou PELO menos o token deveria ser gerado dentro do sistema de forma que pudessemos adiciona-lo nos templates de e-mail e em caso de token expirado o sistema deveria enviar um novo link de acesso. Isso é culpa do WHMCS que é feito pensando no próprio umbigo sem pensar nos clientes dos seus clientes.

Editado por eloimarquessilva
Link para o comentário
Compartilhar em outros sites
genial-76

genial-76

Postado
  • Autor
Postado

@eloimarquessilva

Acho que o ideal seria que a página de faturas não precisasse de login.

Assim a pessoa poderia acessar e ver, se quiser pagar ok...

Ahh, e também se quisesse acessar as outras páginas o whmcs, ai sim teria que se logar.

Acho que mais valeria apena se pedíssemos ao Matt a opção de não precisar de login.

Que que você acham? deixem suas opiniões.

Link para o comentário
Compartilhar em outros sites
genial-76

genial-76

Postado
  • Autor
Postado

Na verdade o que queria mesmo era um módulo de boleto que não usasse a página invoices.php do WHMCS.

Tentei uma vez algo parecido com o Carlo mas sem sucesso,

Ele conseguiu resolver meu problema com outra solução.

O Carlo ou Marcelo da 11 teriam interesse em desenvolver algo assim?

Quanto cobrariam para fazer isso?

www.whmcs.com/boleto.php?invoice=767676

Link para o comentário
Compartilhar em outros sites
genial-76

genial-76

Postado
  • Autor
Postado
Pra utilizar o boleto.php no lugar de viewinvoices.php vc pode adicionar uma linha no .htaccess


RewriteRule ^boleto.php(.*)$ ./viewinvoice.php?$1 [QSA]

Opá Marcelo,

Acho que você me entendeu errado.

Talvez também tenha me expressado errado, mas vamos lá...

Quando quis me referir ao arquivo boleto.php que ele seria parecido com o invoices.php mas não precisaria de login.

Assim o cliente iria acessar

www.whmcs.com/invoices.pho?id=767676 pediria usuário e senha e acessaria a página do whmcs(como todo whmcs sem autologin).

www.whmcs.com/boleto.php?invoice=767676 seria uma página que seria usada somente para gerar boletos bancários. que não precisasse de se logar.

Assim o cliente acessaria sua fatura e pagaria tranquilamente.

Se ele quisesse acessar qualquer página do seu WHMCS, ai sim teria que entrar com usuário e senha.

Deu para entender a ideia?

Também poderíamos utilizar outros métodos de pagamentos.

Abração.

Link para o comentário
Compartilhar em outros sites
edvan

edvan

Postado
Postado (editado)

@genial,

Se você comentar ou remover as linhas 27-30 do arquivo /modules/gateways/boleto/boleto.php

if ((($_SESSION["uid"]!=$userid)OR(!$id))AND(!$_SESSION['adminid'])) {

echo "Invalid Access Attempt";

exit;

}

O cliente poderá acessar o boleto sem precisar logar...

Exemplo http://seuwhmcs.com/modules/gateways/boleto/boleto.php?invoiceid=XXXX Aonde XXXX é o id da sua invoice.

Editando o e-mail template (Invoice Created) basta colocar assim no link

{$whmcs_url}/modules/gateways/boleto/boleto.php?invoiceid={$invoice_id}

Assim você não vai precisar de AutoLogin ou qualquer artificio. Uma desvantagem é que qualquer pessoa poderá visualizar os dados ( nome, endereço e etc... ) de outro cliente pois basta trocar o número da Invoice.

Editado por edvan
Complemento...
Link para o comentário
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
 Compartilhar
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept