Projet

Général

Profil

Bug #8550

La restriction d'accès sur les répertoires settings et categories ne fonctionne pas

Ajouté par Frédéric Péters il y a plus de 8 ans. Mis à jour il y a plus de 8 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Frédéric Péters
Catégorie:
-
Version cible:
-
Début:
07 octobre 2015
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:

Description

On peut dans wcs limiter l'accès à settings/ et categories/ mais en fait ils restent accessibles.

Fichiers

0001-misc-don-t-add-new-backoffice-directories-to-_q_expo.patch (985 octets) 0001-misc-don-t-add-new-backoffice-directories-to-_q_expo.patch Frédéric Péters, 07 octobre 2015 23:11

Révisions associées

Révision 2dd44b7b (diff)
Ajouté par Frédéric Péters il y a plus de 8 ans

misc: don't add new backoffice directories to _q_exports (#8550)

This brings a bypass of the _q_lookup call and the security checks are
therefore skipped.

Historique

#1

Mis à jour par Frédéric Péters il y a plus de 8 ans

C'est au final plutôt simple mais je viens de buter pendant trop longtemps sur les tests côté auquotidien, qui ne chargent pas tout correctement (la modif sur l'accueil du backoffice, ok, mais l'enregistrement de nouveaux répertoires, genre /links/ dedans, non) (cause d'une galère de modules pas importés de la même manière, wcs.qommon.publisher vs qommon.publisher). Bref, l'enregistrement de nouveaux répertoires ne marche pas dans les tests et c'est justement l'enregistrement de répertoire qui fait que ce bug existe.

En effet, les répertoires settings/ et categories/ sont réenregistrés pour leurs changements et le register_directory() ajoute une entrée dans le _q_exports; et la présence d'une entrée dans le _q_exports, ça fait que le _q_traverse passe directement dessus plutôt qu'appeler _q_lookup et c'est dans le _q_lookup que la vérification des permissions se fait.

Je reprendrai sur les tests une fois la tête claire, en attendant, ce patch est quand même plutôt important.

#2

Mis à jour par Benjamin Dauvergne il y a plus de 8 ans

Frédéric Péters a écrit :

wcs.qommon.publisher vs qommon.publisher

J'ai un vieux patch refusé qui doit dater de 2009/2010 :)

#3

Mis à jour par Thomas Noël il y a plus de 8 ans

Ack.

(avec dans l'idée que même sans test dans les heures qui viennent, on pourra déjà cliquer sur auquo.dev un peu partout pour voir si tout semble ok... oui c'est un peu ridicule, mais bon, hé, on se rassure comme on peut)

#4

Mis à jour par Frédéric Péters il y a plus de 8 ans

  • Statut changé de En cours à Résolu (à déployer)
commit 2dd44b7b44ade17e6c8432ff3b57e3f15d156d1f
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Wed Oct 7 23:09:21 2015 +0200

    misc: don't add new backoffice directories to _q_exports (#8550)

    This brings a bypass of the _q_lookup call and the security checks are
    therefore skipped.

Et j'ai ajouté un test côté auquotidien,

commit c8b78b6f0ca2feac0ff1f9d2ee8222c23b558d88
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Thu Oct 8 08:34:10 2015 +0200

    tests: check custom backoffice directories are properly loaded
#5

Mis à jour par Frédéric Péters il y a plus de 8 ans

  • Statut changé de Résolu (à déployer) à Fermé

Formats disponibles : Atom PDF