ste es el resumen que me envio la documentadora de las pruebas de funcionalidad.

Pruebas de Funcionalidad. mando abajo cinco pantallas con explicación.

================================================================================
1 : Alguien nos aviso que hackeo el sistema y que puso “Xomol Apesta” en nombre de compañia. Encontrar SIN LOGEAR donde aparece “xomol apesta” que es el nombre de la compañia. Links por favor.

No se ve por ningún lado el nombre de la compañía que está en “mi compañía”. En el único lugar en donde encontré los datos de la compañía es en la sección de directorio :

Desarrollo de software:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1211896709

Diseño gráfico:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213820502

Hospedaje web:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804

Redes:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213828471

Cabe señalar que los datos de las compañías que se ven viene con los datos de ejemplo de otras empresas. Se ven los links de publicidad pero no quienes somos.

Estos links se agrupan en algo que se llama directorio empresarial, que es una tabla que muestra las clasificaciones: Desarrollo de software, diseño gráfico, hospedaje web, redes.

Es curioso que estas categorías son las que muestran los datos de la empresa que se supone es la que esta usuando el xomol para administrador de contenidos, pero dado el caso, tal parece que sólo es un dato del sitio dedicado exclusivamente a xomol.
================================================================================
2 : Cambio desde el sistema de Nombre de compañia (supongamos alguien hackeo y puso XOMOL Apesta y ya entramos a cambiarlo)

1. La actualización de datos se realiza en la opción Mi cuenta/Editar pero cuesta trabajo encontrarlo entre los menúes.

http://tudominio.com/xomol/index.php?op=my_account_pls

2. La información que se cambia aquí sólo se ve, seas usuario o anónimo, desde en lo que es el directorio empresarial, mencionado en el punto 1 de este tema. Por lo que veo, entonces, los usuarios, sólo pueden modificar datos de su cuenta y organización, tal como si fueran gente externa que usa los servicios del sitio xomol, y como beneficios su información se agrega al directorio empresarial.

3. No veo funcionalidad para administrar el sitio como si sustituyeras al propietario que es xomol.

4. Los mismos datos se repiten en cada una de las categorías del directorio, lo que hace innecesario usar categorías. Marca error al tratar de agregar una categoría nueva, y eso como root.

5. En donde pude finalmente cambiar los datos de la empresa es:

http://tudominio.com/xomol/index.php?op=admin&op2=admin_company_info_update

6. El nombre de la empresa SOLAMENTE me lo muestra en el título de la ventana.

7. Al editar los datos de la empresa, en el campo SWIFT, recorrió la caja de texto y el dato capturado lo puso un un espacio de la tabla, al grabar me dejó el dato blanco.

8. como conclusión, a menos que se editen los banners y el tema, el sistema sólo presenta el nombre de la organización o empresa en el título de la ventana del navegador.
================================================================================
3 : Pasos para editar un articulo existente (jeans de 55)

1. Al momento de entrar a la tienda, me deja entrar aunque no tenga artículos.

2. Finalmente el módulo en donde se puede dar mantenimiento es en Administrar módulos, tienda virtual:
http://tudominio.com/xomol/index.php?op=admin&focus=store

3. como no había datos, traté de generar una nueva categoría de productos, para empezar de ahí, en la opción categorías y productos:
http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_cat_view

4. Seleccioné el link “categoría nueva” de los links ubicados en la barra derecha del módulo “Categories and Products” (que viene en inglés a pesar de que el idioma default es “mexicano”.

5. La pantalla de captura tiene la misma distribución que la de categorías del módulo de contenido. Razón por la cual el proceso de captura es el mismo.

6. Seleccioné la opción de “adeherir productos” de la barra de links ubicada en la barra superior derecha de la pantalla. Debiera ser “insertar” “añadir” o alta, pero adeherir no es intuitivo y se descubre por ensayo y error.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_art_add&cat_parent_id=1237760620

7. Se capturan los datos que pide en pantalla:

Categoria
Status
Produccion
Modelo
Precios
Tipo de impuesto
Peso
Tipo de paquete
Default
cant. disponibles
cant. pedido(en camino)
Fecha de disponibilidad

Nota: en ninguno de los campos mencionados, asocia el tipo de divisa que se aplicará al precio. El sistema no es multidivisas.

Nota: Solo si se registran datos para los tres idiomas, aparece una bandera para cada idioma del registro

8. Parece que por default sólo un actículo puede estar activo en la tabla de productos, que estan agrupados por categoría.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_cat_view&focus=1237760620&cat_parent_id=0

9. En la tabla dando un click sobre el icono de lápiz, se puede editar la información de las categorías y los productos.

10. también desde el catálogo se muestra un icono del lapiz, en donde se puede actualizar la información, en mi caso, no me permitió cambiar en la lista de valores la categoría del producto, y eso que era root.

http://tudominio.com/xomol/index.php?op=store&op2=view_details&product=1237764191&cat_parent_id=0

11. En conclusión, los artículos se pueden modificar desde “categorías y productos” o seleccionando el artículo en el catálogo, sin embargo, no deja modificar los siguientes datos: Produccion, Modelo, Precios, Tipo de impuesto, Peso Kilogramos, Tipo de paquete, cant. disponibles, cant. pedido(en camino), Fecha de disponibilidad.

12. Debido a que no deja modificar datos importantes, la opción para poder solucionarlo es borrarlo y crear nuevamente el registro, y perdiendo el historial.

================================================================================
4 : Pasos para Restringir el alta de usuarios nuevos.

1. En el módulo de administración principal, revisé las siguientes opciones:

usuarios

Grupos de usuario (que se presenta duplicada)
http://tudominio.com/xomol/index.php?op=admin&op2=admin_users_view

Derechos de usuario
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights

Nota: El usuario root no tiene derechos para adherir derechos de usuario. Lo que es redundante por que este es un super usuario que debería contar con el permiso para hacerlo tendría que existir un usuario de mayor rango para otorgarle el permiso. -ja

Derechos de usuario/grupo
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights2groups

Nota: presenta una tabla que con una bandera permite otorgar (verde) o quitar (rojo) un permiso. Con el inconveniente que las descripciones de las tablas o procesos, no dicen mucho en sus descripciones, haciendo difícil saber para que sirven, son crípticas y muy diferentes a postnuke, drupal o nuestros propios CMS para clientes. Se necesita ser medium o probar de ensayo y error.

2. No se observa una opción que permitiera desactivar el registro de nuevos usuarios.

Esto significa que cualquier persona puede darse de alta, y no se ve registro de direcciones IP ni nada ligado a seguridad.

3. En conclusión el sistema no cuenta con una opción para desactivar el registro de nuevos usuarios, y si hay alguien masoquista va a poder darse de alta.

No hice pruebas de validación de emails duplicados, por las notas de integridad del anexo de seguridad.

4.1. Creación de un nuevo usuario:
——————————————————

Aquí agrego otra prueba relacionada con el tema de usuarios.

1. Di de alta un nuevo usuario, el cual fué registrado sin validar la dirección de e-mail, que en este caso es falsa. Dejando registrar el usuario normalmente.

2. Al iniciar mi sesión con el nuevo usuario, noto que el sistema nunca me dice el nombre del usuario que esta loggeado en ese momento.

3. El usuario recién creado, no tiene permisos para crear en el sistema, razón por la cual le voy a otorgar permisos, para hacer una prueba de vulnerabilidad.

4. Como administrador, uso la opción usuarios, del módulo Admin usersonline:

http://tudominio.com/xomol/index.php?op=usersonline&op2=admin&op3=xomol_users_view

5. En la tabla que parece ser de usuarios, no se muestran los datos del usuario que acabo de registrar, sin embargo, con sus datos se puede iniciar una sesión de xomol. Parece que lo que me muestra son los departamentos de la empresa y no los usuarios. Es bastante confuso.

6. Fué desde el módulo de administración principal, en donde se encuentra otra opción llamada usuarios:
http://tudominio.com/xomol/index.php?op=admin

7. Edite los datos del usuario desde la opción:
http://tudominio.com/xomol/index.php?op=admin&op2=admin_users_view

8. Ahí, sólo verifico que tenga asignado el grupo “registered”

9. En la opción de derechos de usuario a grupo, le otorgo al grupo “registered”, el permiso para crear noticias.
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights2groups

10. Debido a que no es muy fácil identificar los rubros para otorgarle el permiso para crear contenido o noticias, por deducción otorgo los siguientes rubros:
A_CSS_CATEGORY_ADD
A_CSS_CATEGORY_EDIT
A_CSS_ELEMENT_ADD
A_CSS_ELEMENT_EDIT

11. Al tratar de probar con el usuario, estas tablas, no eran las que daban el acceso para crear noticias =( sino modificar renglones de estilos. Con los nombres que se manejan, no es posible identificar la función a la cual se le otorga permiso al usuario.

Nota: Cabe destacar que esta instalación, se hizo empleando el instalador de xomol.(instalación gamma o 3)

12. Ya que no fué posible darle permisos a un Usuario tipo “registered”, La prueba se completó con el usuario root, se pudo subir un falso jpg al directorio de banners del dominio.

a – No validó el tipo de octet
b – Parece que puede subirse tanto desde categoría como desde el editor Java.
c – No hice pruebas de archivos por tamaño (mi imagen era de 46 bytes pero no creo que valide el límite de 2 mb)

================================================================================
5 : Pasos para añadir a DIRECTORIO HOSPEDAJE WEB, un link a google que sea visible por usuarios no loggeados.

1. En la lista de valores, tipo pop up, que se encuentra en la esquina superior derecha (abajo de link de administración principal), seleccionar la opción “Directorio empresarial”

http://tudominio.com/xomol/index.php?op=directory&op2=admin

2. Seleccionar el botón editar de la categoría “hospedaje web”.

3. Capturar el nombre de la link que se desee capturar, en el cuadro de texto del idioma cuya información será actualizada.

4. Seleccionar en la barra de herramientas de cuadro de texto, la herramienta Link (que se presenta como un mundo con un eslavón de una cadena). Al realizar esta opción, el sistema muestra en pantalla una ventana que se llama Vínculo.

5. Capturar en el campo URL la dirección que se desee insertar en el directorio empresarial.

6. Dar un click en el botón Ok, para que el sistema inserte el link en el cuadro de texto.

Nota: En esta ventana de vínculos, permite ver el servidor y subir archivos al mismo, y permitió: 1) subir un falso JPG, 2)que dejó en la raíz del servidor, y 3)el acceso a ese archivo se agregó como link de sitio. El sistema no hace validaciones y no restringue las funciones de la barra de herramientas de edición, de funciones que no viene al caso manejar en este tipo de contenidos, como es el caso de controles para formularios (Campos de texto, radio botónes, botones), por lo menos drupal no lo hace y el editor no es estandard. Si no se documenta no le veo uso, excepto que el programador presuma de una utilería que vuelve pesada la edición y quien sabe si funcione o no bajo una prueba de cross browsing incluyendo no java.

Link al directorio con el falso jpg

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804&langx=english&skipupdate=1

Link que abre el falso jpg
http://tudominio.com/xomol/modules/directory/file/holamundo(1).jpg

7. Dar un click en el botón “click para actualizar”

8. En pantalla se muestra los links insertados, siendo un usuario anónimo:
http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804

================================================================================
6 : Debido a la demanda vamos a vender un producto coca cola de lata, que podemos comprar en el super o en la comer. Dar de alta en el mismo articulo que ve el cliente los dos proveedores. No es opcion dar de alta un articulo para cada proveedor.

1. El sistema sólo permite asignar un proveedor por producto, en este caso en el sistema se llama a este dato “Producción” y es una lista de valores tipo combo, que sólo permite asignar un valor.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_art_edit&product=1237764191&cat_parent_id=0

2. No hay opción de asignar más de un proveedor por artículo. A menos que se creara un artículo por cada proveedor. Cosa que se hace poco funcional.

3. Tampoco se puede especificar si algo es servicio o producto, por lo que para terminos del sistema, sólo existen los productos. =P

================================================================================
7 : Pasos para Publicar un nuevo articulo COMO ADMIN.

1. En la lista de valores, tipo pop up, que se encuentra en la esquina superior derecha (abajo de link de administración principal), seleccionar la opción “Contenido”, para que el sistema muestre la pantalla de categorías.
http://tudominio.com/xomol/index.php?op=content&op2=admin

2. Dar un click en la opción “Adehrir articulo” para que el sistema muestre la ventana de captura correspondiente.

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_art_add&cat_parent_id=&cat=

3. Capturar los siguientes datos:
Categorias
status
Permitir comentarios
Grupo
Escoge un autor
Titulo (mexican)
Descripcion mini (mexican)
Descripcion extensa (mexican)
Titulo (english)
Descripcion mini (english)
Descripcion extensa (english)
Titulo (german)
Descripcion mini (german)
Descripcion extensa (german)
Editar metatags

Nota: En relación al autor, un artículo puede asociarse cualquier usuario del sistema (clasificado como autor), razón por la cual cualquier usuario PUEDE SER SUPLANTADO y no hay seguridad en cuanto a poder identificar quien crea el artículo.

4. Dar un click en el botón “Click para adeherir” Al realizar esta acción, el sistema almacena los datos en la base, y regresa a la tabla de categorías, en donde muestra el artículo registrado.

Nota: Los metatags, si no se registran, el sistema llena todos los espacios con metatags de xomol al volver a editar, bajo Firefox y IE de Windows Vista (la lap que usamos para pruebas de .net) por lo menos.

5. Dar un click en el círculo que se presenta en rojo en la primera columna de izquierda a derecha: “publicación.ok” , para autorizar y que la información se pueda ver en el sitio.

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_art_insert

Nota: La tercera columna de la tabla de categorías, en la sección de artículos, indica si se permite publicar comentarios.

6. Sólo hasta que se ha asingado el estatus de “publicación.ok” el artículo lo pueden ver cualquier usuario del sitio.

http://tudominio.com/xomol/index.php?op=content&op2=view_details&art=1237773747&cat=1214498934

Conclusión : El alta de nuevos contenidos en el CMS es tardada, con muchos datos que es poco probable que se sepan o utilicen, y que lo utilizable no se puede editar.

Segun yo google indexa mas ya por contenido que por metatags, y no me quiero imaginar cuantos pasos son para publicar como usuario de a pie. ESTE ES EL ADMIN, y no puede hacerse un alta rápida.

================================================================================
8 : Salir del sistema y encontrar fecha y hora en que se publico el articulo.

1. Si no se ha configurado, la fecha y hora de la publicación de un artículo no lo puede ver ningún usuario.

2. En la opción configurar, del módulo de “Admin.content”

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_config_view

3. Editar (dando click en el icono del lápiz) para que diga SI, en los siguientes parámetros:
Article Details
Show Autor SHOW_AUTHOR SI
Show Date SHOW_DATE SI

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_config_edit&configure=11

4. Sólo al activar esos parámetros, el sistema muestra los datos del autor y la fecha:

http://tudominio.com/xomol/index.php?op=content&op2=view_details&art=1237773747&cat=1214498934

9 : Pasos para cambiar como admin el theme usado por default.

1. El skin sólo puede cambiarse a nivel de usuario, y verá sólo su sesión con un skin diferente, no así el resto de los usuarios.

2. El usuario root puede cambiar los “templetes”, pieza por pieza, adivinado de que se trata, y si quiere cambiar el logo, debe usar fireworks o alguna aplicación para editar imagen, que la mayoría de los usuarios no conocen, y rompiendo el tema por lo general.

3. En resumen, es absurdamente complicado, quitar el nombre de xomol y más difícil todavía… que el sitio se vea diferente a otro que use xomol.

4. De los 3 skins que hay cuesta trabajo encontrarlos, dos son iguales y como usuario normal en ocasiones al cambiar, se obtiene un error de ftp o fetch array.

================================================================================
10 : Pasos para deshabilitar los banners para que no los vea el usuario no loggeado.

1. En la opción Administración principal/templetes, deshabilité todos los renglones de la tabla que tenían en su descripción la palabra banner.

http://tudominio.com/xomol/index.php?op=admin&op2=themes_block_active&switch=0&block=225

2. La preuba no resultó, porque aquí no se desactivan los banners.

3. Desactivar el módulo de banner en administración principal/instalación de módulos:
http://tudominio.com/xomol/index.php?op=admin&op2=admin_modules_view

4. El sistema pasa el reglón al final de la tabla, con el estatus de inactivo.

5. Al realizar esta acción y cerrar la sesión, el sistema sólo muestra la imagen del encabezado, sin otro dato. Y ya no es posible accesar a dato alguno del sitio.

6. Como conclusión, el módulo de banners es parte del core, y es imposible que funcione sin publicidad. Por lo que no es un CMS, sino un mostrador de anuncios, porque tampoco se explica como hacer un tema o skin que no use banners.

Xomol es un sistema mal hecho, enfocado a la publicidad, y no puede usarse para cosas sin fines de lucro o académicas, y si alguien quiere banners mejor que use PostNuke (tiene un flujo parecido de lento pero por lo menos funciona)

================================================================================

11 : Impresiones generales de lo que esperabas, contra lo que encontraste.

1. Me encontré con un sistema poco amigable que no es una versión robusta y depurada, que por el contrario, es evidente que no ha sido probado.
2. Es también evidente que no es funcional o intuitivo, porque muchas de las cosas que logré hacer, fué con el método de prueba y error y eso porque conozco PostNuke.

En funcionalidad imita Postnuke, pero es mucho peor , y no le llega a los talones a Postnuke, y mucho menos a Drupal o Joomla.

3. También veo que es un sistema inflexible, que muestra claramente la “forma de pensar”(siendo decente) de su creador, porque el usuario lejos de encontrar un ambiente en donde pueda satisfacer sus necesidades, tiene que adecuar sus necesidades a la estructura rígida de este sistema.

4. Es de cuestionarse que el sistema venga precargado con una serie de datos, que a la larga se convierten en basura para un usuario que pretente instalar este sistema en su propio domino. Lo que hace difícil poder limpiarlo para poder registrar información propia. Ni siquiera cuenta con algun proceso batch para limpiar la base de datos.
5. Aun editando las imágenes, el sistema no hace los cambios en el sitio. No revisé caches pero debe ser algo similar a que actualiza el skin cuando uno se sale.
6. Cuenta con fallas graves de seguridad, como no validar los archivos que se suben al servidor con procesos de upload.
7. Sus barra de herramientas para editar contenidos, no están depuradas, ya que presenta muchas funciones como para construcción y que un usuario no debería tener acceso a ellas, es más nisiquiera debería de verlas, ya que causa confusión y permite agregar basura a las páginas.

Si el usuario quisiera hacer un formulario, lo haría a mano y no con esos botones.

8. En resumen pienso que esta aplicación no es una versión que puede anunciarse como un CMS terminado. Es un proyecto a medias, que no cumple con los estándares mínimos de calidad.