Bug #8550
La restriction d'accès sur les répertoires settings et categories ne fonctionne pas
0%
Description
On peut dans wcs limiter l'accès à settings/ et categories/ mais en fait ils restent accessibles.
Fichiers
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a plus de 8 ans
- Fichier 0001-misc-don-t-add-new-backoffice-directories-to-_q_expo.patch 0001-misc-don-t-add-new-backoffice-directories-to-_q_expo.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
C'est au final plutôt simple mais je viens de buter pendant trop longtemps sur les tests côté auquotidien, qui ne chargent pas tout correctement (la modif sur l'accueil du backoffice, ok, mais l'enregistrement de nouveaux répertoires, genre /links/ dedans, non) (cause d'une galère de modules pas importés de la même manière, wcs.qommon.publisher vs qommon.publisher). Bref, l'enregistrement de nouveaux répertoires ne marche pas dans les tests et c'est justement l'enregistrement de répertoire qui fait que ce bug existe.
En effet, les répertoires settings/ et categories/ sont réenregistrés pour leurs changements et le register_directory() ajoute une entrée dans le _q_exports; et la présence d'une entrée dans le _q_exports, ça fait que le _q_traverse passe directement dessus plutôt qu'appeler _q_lookup et c'est dans le _q_lookup que la vérification des permissions se fait.
Je reprendrai sur les tests une fois la tête claire, en attendant, ce patch est quand même plutôt important.
Mis à jour par Benjamin Dauvergne il y a plus de 8 ans
Frédéric Péters a écrit :
wcs.qommon.publisher vs qommon.publisher
J'ai un vieux patch refusé qui doit dater de 2009/2010 :)
Mis à jour par Thomas Noël il y a plus de 8 ans
Ack.
(avec dans l'idée que même sans test dans les heures qui viennent, on pourra déjà cliquer sur auquo.dev un peu partout pour voir si tout semble ok... oui c'est un peu ridicule, mais bon, hé, on se rassure comme on peut)
Mis à jour par Frédéric Péters il y a plus de 8 ans
- Statut changé de En cours à Résolu (à déployer)
commit 2dd44b7b44ade17e6c8432ff3b57e3f15d156d1f Author: Frédéric Péters <fpeters@entrouvert.com> Date: Wed Oct 7 23:09:21 2015 +0200 misc: don't add new backoffice directories to _q_exports (#8550) This brings a bypass of the _q_lookup call and the security checks are therefore skipped.
Et j'ai ajouté un test côté auquotidien,
commit c8b78b6f0ca2feac0ff1f9d2ee8222c23b558d88 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Thu Oct 8 08:34:10 2015 +0200 tests: check custom backoffice directories are properly loaded
misc: don't add new backoffice directories to _q_exports (#8550)
This brings a bypass of the _q_lookup call and the security checks are
therefore skipped.