developer.jelix.org is not used any more and exists only for history. Post new tickets on the Github account.
developer.jelix.org n'est plus utilisée, et existe uniquement pour son historique. Postez les nouveaux tickets sur le compte github.

Opened 11 years ago

Closed 11 years ago

#935 closed bug (fixed)

Droits auth.user.* dans jauthdb_admin

Reported by: Daxey Owned by: laurentj
Priority: high Milestone: Jelix 1.1.3
Component: module:jauthdb_admin Version: 1.1
Severity: critical Keywords:
Cc: Blocked By:
Blocking: Documentation needed: no
Hosting Provider: Php version:

Description

Dans jauthdb_admin un utilisateur ayant des droits auth.user.* (comme par defaut à l'installation du master_admin) peut modifier n'importe quel utilisateur puisqu'il n'y à pas de vérification que cet utilisateur est bien lui-même.

Change History (5)

comment:1 Changed 11 years ago by laurentj

Je ne comprend pas où est le problème. Si il a les droits auth.user.*, c'est normal qu'il puisse modifier les utilisateurs, non ?

comment:2 Changed 11 years ago by Daxey

Les droits auth.user.* sont les droits en rapport avec l'user courant connecté (à ce que j'ai compris), seulement là, une fois connecté, nimporte quel utilisateur peut modifier n'importe quel autre.

comment:3 Changed 11 years ago by Daxey

je ne parle pas de auth.users.* mais bien de auth.user.*

comment:4 Changed 11 years ago by laurentj

  • Milestone set to Jelix 1.1.3
  • Owner set to laurentj
  • Severity changed from normal to critical
  • Status changed from new to assigned

Je viens de faire des recherches dans le code source. Apparement auth.users.* ne sont pas du tout utilisés. Et effectivement auth.user.* est mal utilisé. Il faudrait que le module authdb_admin check à la fois les auth.users.* et les auth.user.*+login.

comment:5 Changed 11 years ago by laurentj

  • Priority changed from normal to high
  • Resolution set to fixed
  • Status changed from assigned to closed

bon, je me suis trompé, auth.users.* sont bien utilisé.

J'ai rajouté les vérifications nécessaires dans les contrôleurs de jauthdb_admin.

r1429

Note: See TracTickets for help on using tickets.