Alexandre Aleixo Posted August 2, 2011 Share Posted August 2, 2011 Muito bom o módulo! Link to comment Share on other sites More sharing options...
filipeapsilva Posted October 6, 2011 Share Posted October 6, 2011 (edited) Olá Fiz alguns testes e o módulo funcionou somente no Internet Explorer em navegadores como Firefox, Chrome o autologin não funciona alguém passou por isso ou tem a solução ? JÁ SOLUCIONEI O PROBLEMA Edited October 6, 2011 by filipeapsilva JÁ SOLUCIONEI O PROBLEMA Link to comment Share on other sites More sharing options...
eloimarquessilva Posted October 17, 2011 Share Posted October 17, 2011 (edited) Olá gente. Qualquer módulo que envie a informação necessaria para acesso (token, e-mail e ID) de forma FIXA (invariavel) em uma URL abre sim uma brecha de segurança pois qualquer pessoa que acesssar o historico do navegador do sujeito vai conseguir acessar a conta dele no WHMCS. O ideal é que o token seja composto por um valor timestamp (uma data) pois assim depois de um tempo ele iria expirar e o link ficaria inválido. Eu até cheguei a uma solução para isso adicionando um script PHP no home do WHMCS e algumas linhas PHP nos templates de e-mail mas achei muito pouco elegante a solução, apesar de funcionar bem. Estou pensando em uma forma de solucionar isso de forma mais elegante. O cara ao clicar no link da fatura cai em uma tela com a seguinte informação: Este link que você usou para acessar a fatura expirou! Nosso sistema acaba de enviar um novo link válido para essa fatura. Por favor verifique seu e-mail e clique no novo link! Nisso o cara receberia um novo link com uma validade de X horas e depois esse link automaticamente iria expirar. O que vocês acham? OBS.: Quero deixar claro que não estou dizendo que o modulo disponível aqui é RUIM. Acredito que essa "falha" é mais culpa do WHMCS do que do módulo em si. Essas URLs de acesso direto deveriam ser geradas pelo próprio WHMCS e o sistema deveria permitir que adicionassemos elas nos TEMPLATES de e-mail. Ou PELO menos o token deveria ser gerado dentro do sistema de forma que pudessemos adiciona-lo nos templates de e-mail e em caso de token expirado o sistema deveria enviar um novo link de acesso. Isso é culpa do WHMCS que é feito pensando no próprio umbigo sem pensar nos clientes dos seus clientes. Edited October 17, 2011 by eloimarquessilva Link to comment Share on other sites More sharing options...
genial-76 Posted October 17, 2011 Author Share Posted October 17, 2011 @eloimarquessilva Acho que o ideal seria que a página de faturas não precisasse de login. Assim a pessoa poderia acessar e ver, se quiser pagar ok... Ahh, e também se quisesse acessar as outras páginas o whmcs, ai sim teria que se logar. Acho que mais valeria apena se pedíssemos ao Matt a opção de não precisar de login. Que que você acham? deixem suas opiniões. Link to comment Share on other sites More sharing options...
genial-76 Posted October 17, 2011 Author Share Posted October 17, 2011 Na verdade o que queria mesmo era um módulo de boleto que não usasse a página invoices.php do WHMCS. Tentei uma vez algo parecido com o Carlo mas sem sucesso, Ele conseguiu resolver meu problema com outra solução. O Carlo ou Marcelo da 11 teriam interesse em desenvolver algo assim? Quanto cobrariam para fazer isso? www.whmcs.com/boleto.php?invoice=767676 Link to comment Share on other sites More sharing options...
Jesmarcelo Posted October 17, 2011 Share Posted October 17, 2011 Pra utilizar o boleto.php no lugar de viewinvoices.php vc pode adicionar uma linha no .htaccess RewriteRule ^boleto.php(.*)$ ./viewinvoice.php?$1 [QSA] Link to comment Share on other sites More sharing options...
genial-76 Posted October 17, 2011 Author Share Posted October 17, 2011 Pra utilizar o boleto.php no lugar de viewinvoices.php vc pode adicionar uma linha no .htaccess RewriteRule ^boleto.php(.*)$ ./viewinvoice.php?$1 [QSA] Opá Marcelo, Acho que você me entendeu errado. Talvez também tenha me expressado errado, mas vamos lá... Quando quis me referir ao arquivo boleto.php que ele seria parecido com o invoices.php mas não precisaria de login. Assim o cliente iria acessar www.whmcs.com/invoices.pho?id=767676 pediria usuário e senha e acessaria a página do whmcs(como todo whmcs sem autologin). www.whmcs.com/boleto.php?invoice=767676 seria uma página que seria usada somente para gerar boletos bancários. que não precisasse de se logar. Assim o cliente acessaria sua fatura e pagaria tranquilamente. Se ele quisesse acessar qualquer página do seu WHMCS, ai sim teria que entrar com usuário e senha. Deu para entender a ideia? Também poderíamos utilizar outros métodos de pagamentos. Abração. Link to comment Share on other sites More sharing options...
Lperez Posted October 17, 2011 Share Posted October 17, 2011 Parebéns pela contribuição! Link to comment Share on other sites More sharing options...
leomissao Posted October 18, 2011 Share Posted October 18, 2011 Obrigado por disponibilizar. Link to comment Share on other sites More sharing options...
edvan Posted October 18, 2011 Share Posted October 18, 2011 (edited) @genial, Se você comentar ou remover as linhas 27-30 do arquivo /modules/gateways/boleto/boleto.php if ((($_SESSION["uid"]!=$userid)OR(!$id))AND(!$_SESSION['adminid'])) { echo "Invalid Access Attempt"; exit; } O cliente poderá acessar o boleto sem precisar logar... Exemplo http://seuwhmcs.com/modules/gateways/boleto/boleto.php?invoiceid=XXXX Aonde XXXX é o id da sua invoice. Editando o e-mail template (Invoice Created) basta colocar assim no link {$whmcs_url}/modules/gateways/boleto/boleto.php?invoiceid={$invoice_id} Assim você não vai precisar de AutoLogin ou qualquer artificio. Uma desvantagem é que qualquer pessoa poderá visualizar os dados ( nome, endereço e etc... ) de outro cliente pois basta trocar o número da Invoice. Edited October 18, 2011 by edvan Complemento... Link to comment Share on other sites More sharing options...
Recommended Posts