Projet

Général

Profil

Bug #3105

Accès au json d'un formdata trop permissif

Ajouté par Thomas Noël il y a presque 11 ans. Mis à jour il y a environ 4 ans.

Statut:
Rejeté
Priorité:
Normal
Assigné à:
Version cible:
-
Début:
21 juin 2013
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Non
Planning:
Non

Description

Actuellement, un utilisateur lambda peut voir l'export JSON d'une de ses demandes.

Or on y exporte, entre autres, le workflow_data. Ou aussi le statut actuel, même s'il doit être caché. Etc...

Je propose donc que l'accès JSON ne soit pas autorisé pour le demandeur, mais seulement un compte admin (et peut-être pour un utilisateur "receiver" ?... bof).

Historique

#1

Mis à jour par Frédéric Péters il y a environ 7 ans

  • Assigné à Frédéric Péters supprimé
  • Patch proposed mis à Non
#2

Mis à jour par Benjamin Dauvergne il y a environ 4 ans

  • Statut changé de Nouveau à Information nécessaire
  • Assigné à mis à Thomas Noël

L'impression que ce ticket n'est plus vrai.

#3

Mis à jour par Thomas Noël il y a environ 4 ans

  • Statut changé de Information nécessaire à Rejeté

Ouaich

Formats disponibles : Atom PDF