From lukasz.nowak w ventis.com.pl  Wed Feb 13 15:37:16 2008
From: lukasz.nowak w ventis.com.pl (=?UTF-8?B?xYF1a2Fzeg==?= Nowak)
Date: Wed, 13 Feb 2008 15:37:16 +0100
Subject: [Erp5-poland] =?utf-8?q?Security_zmieniaj=C4=85ce_si=C4=99_w_czas?=
 =?utf-8?q?ie_=C5=BCycia_systemu?=
Message-ID: <20080213153716.1e0cebec@mover>

Witam,

Mam taką sytuację: obiekty typu ``Person'' mogą być oglądane przez
wszystkich. Odpowiednie role (np. zarządca sprzedaży, etc) mają rolę
Assignor do _prawie_ wszystkich obiektów, poza obiektami, które:
  object.isMemberOf('role/internal') - wtedy nie mają takich uprawnień.

Dziwna sprawa. Użytkownik dodaje Person. Jest ok. Użytkownik robi
przypisanie 'role/internal'. Nadal ma prawa do obiektu. Czyszczę
wszystkie cache factory. Nadal ma Assignora. Dopiero jak w
portal_types/Person kliknę 'Update role settings' znikają mu
uprawnienia.

Portal type Person Module ma Auditora i Authora, dopiero na portal type
Person definiuję role Assignor.

Jak uzyskać opisany efekt od razu, bez ręcznej aktualizaji ról?

Łukasz

-- 
Łukasz Nowak R&D Ventis http://www.ventis.com.pl/
tel: +48 32 768 16 85 fax: +48 32 392 10 61
``Use the Source, Luke...'' I am only craftsman.


From mikolaj w erp5.pl  Wed Feb 13 16:37:36 2008
From: mikolaj w erp5.pl (Mikolaj Antoszkiewicz)
Date: Wed, 13 Feb 2008 16:37:36 +0100
Subject: [Erp5-poland]
 =?iso-8859-2?q?Security_zmieniaj=B1ce_si=EA_w_czasi?=
 =?iso-8859-2?q?e_=BFycia_systemu?=
In-Reply-To: <20080213153716.1e0cebec@mover>
References: <20080213153716.1e0cebec@mover>
Message-ID: <47B30EC0.7080503@erp5.pl>

Hej,

Niestety aktualizacje 'local roles'-ów nie odpalają się automatycznie, 
gdyż system nie wie, które obiekty ma akutalizować.

Można to robić przez interaction_workflow, który będzie monitorował 
odpowiednie zmiany i odpali  updateLocalRolesOnSecurityGroups na 
odpowiednich obiektach/modułach.

To tak samo jak przy przejściach w workflow'ach, gdzie jeśli taka 
potrzeba wynika (np przy wykonaniu jakichś przypisań czy innych 
czynności w trakcie przejścia) też trzeba ręcznie zaktualizować role 
lokalne odpowiednich obiektów (w szczególności tego, który zmienia stan).

Pozdrawiam
Mikołaj


Łukasz Nowak wrote:
> Witam,
> 
> Mam taką sytuację: obiekty typu ``Person'' mogą być oglądane przez
> wszystkich. Odpowiednie role (np. zarządca sprzedaży, etc) mają rolę
> Assignor do _prawie_ wszystkich obiektów, poza obiektami, które:
>   object.isMemberOf('role/internal') - wtedy nie mają takich uprawnień.
> 
> Dziwna sprawa. Użytkownik dodaje Person. Jest ok. Użytkownik robi
> przypisanie 'role/internal'. Nadal ma prawa do obiektu. Czyszczę
> wszystkie cache factory. Nadal ma Assignora. Dopiero jak w
> portal_types/Person kliknę 'Update role settings' znikają mu
> uprawnienia.
> 
> Portal type Person Module ma Auditora i Authora, dopiero na portal type
> Person definiuję role Assignor.
> 
> Jak uzyskać opisany efekt od razu, bez ręcznej aktualizaji ról?
> 
> Łukasz
> 


From lukasz.nowak w ventis.com.pl  Wed Feb 13 16:39:58 2008
From: lukasz.nowak w ventis.com.pl (=?UTF-8?B?xYF1a2Fzeg==?= Nowak)
Date: Wed, 13 Feb 2008 16:39:58 +0100
Subject: [Erp5-poland]
 =?utf-8?q?Security_zmieniaj=C4=85ce_si=C4=99_w_czas?=
 =?utf-8?q?ie_=C5=BCycia_systemu?=
In-Reply-To: <47B30EC0.7080503@erp5.pl>
References: <20080213153716.1e0cebec@mover>
	<47B30EC0.7080503@erp5.pl>
Message-ID: <20080213163958.04b27ee9@mover>

Cześć,

On 2008-02-13, 16:37:36
Mikolaj Antoszkiewicz <mikolaj w erp5.pl> wrote:

> Hej,
> 
> Niestety aktualizacje 'local roles'-ów nie odpalają się
> automatycznie, gdyż system nie wie, które obiekty ma akutalizować.
> 
> Można to robić przez interaction_workflow, który będzie monitorował 
> odpowiednie zmiany i odpali  updateLocalRolesOnSecurityGroups na 
> odpowiednich obiektach/modułach.

Właśnie tak zrobiłem. Ale tak czy siak, jest chwila, podczas której
niedobry użyszkodnik zdoła wprowadzić dane i włamać się do systemu
(mogę mu odebrać prawa do dodawania Assignment, etc, ale nie o to
chodzi).

Czy to jest znanym upstreamowi błędem?

> To tak samo jak przy przejściach w workflow'ach, gdzie jeśli taka 
> potrzeba wynika (np przy wykonaniu jakichś przypisań czy innych 
> czynności w trakcie przejścia) też trzeba ręcznie zaktualizować role 
> lokalne odpowiednich obiektów (w szczególności tego, który zmienia
> stan).

Zapamiętam :)

Pozdrawiam,
Łukasz

-- 
Łukasz Nowak R&D Ventis http://www.ventis.com.pl/
tel: +48 32 768 16 85 fax: +48 32 392 10 61
``Use the Source, Luke...'' I am only craftsman.


From mikolaj w erp5.pl  Wed Feb 13 17:19:26 2008
From: mikolaj w erp5.pl (Mikolaj Antoszkiewicz)
Date: Wed, 13 Feb 2008 17:19:26 +0100
Subject: [Erp5-poland]
 =?iso-8859-2?q?Security_zmieniaj=B1ce_si=EA_w_czasi?=
 =?iso-8859-2?q?e_=BFycia_systemu?=
In-Reply-To: <20080213163958.04b27ee9@mover>
References: <20080213153716.1e0cebec@mover>	<47B30EC0.7080503@erp5.pl>
	<20080213163958.04b27ee9@mover>
Message-ID: <47B3188E.1030804@erp5.pl>



Łukasz Nowak wrote:
> Cześć,
> 
> On 2008-02-13, 16:37:36
> Mikolaj Antoszkiewicz <mikolaj w erp5.pl> wrote:
> 
>> Hej,
>>
>> Niestety aktualizacje 'local roles'-ów nie odpalają się
>> automatycznie, gdyż system nie wie, które obiekty ma akutalizować.
>>
>> Można to robić przez interaction_workflow, który będzie monitorował 
>> odpowiednie zmiany i odpali  updateLocalRolesOnSecurityGroups na 
>> odpowiednich obiektach/modułach.
> 
> Właśnie tak zrobiłem. Ale tak czy siak, jest chwila, podczas której
> niedobry użyszkodnik zdoła wprowadzić dane i włamać się do systemu
> (mogę mu odebrać prawa do dodawania Assignment, etc, ale nie o to
> chodzi).
> 
> Czy to jest znanym upstreamowi błędem?
> 

Dlaczego błędem i jak by ten użyszkodnik miał się włamać do systemu? 
Dopóki nie zostanie mu otwarty Assignment (i skatalogowany) nie będzie 
się do niego mógł nawet zalogować.

M>A>


From lukasz.nowak w ventis.com.pl  Wed Feb 13 17:51:52 2008
From: lukasz.nowak w ventis.com.pl (=?UTF-8?B?xYF1a2Fzeg==?= Nowak)
Date: Wed, 13 Feb 2008 17:51:52 +0100
Subject: [Erp5-poland]
 =?utf-8?q?Security_zmieniaj=C4=85ce_si=C4=99_w_czas?=
 =?utf-8?q?ie_=C5=BCycia_systemu?=
In-Reply-To: <47B3188E.1030804@erp5.pl>
References: <20080213153716.1e0cebec@mover> <47B30EC0.7080503@erp5.pl>
	<20080213163958.04b27ee9@mover> <47B3188E.1030804@erp5.pl>
Message-ID: <20080213175152.1ba2ce1a@mover>

Cześć,

On 2008-02-13, 17:19:26
Mikolaj Antoszkiewicz <mikolaj w erp5.pl> wrote:

(...)
> Dlaczego błędem i jak by ten użyszkodnik miał się włamać do systemu? 
> Dopóki nie zostanie mu otwarty Assignment (i skatalogowany) nie
> będzie się do niego mógł nawet zalogować.

Wybacz. Źle to ująłem

Przez błąd rozumiałem fakt, że nie jest brana
pod uwagę poprawnie definicja poziomów dostępu - dokładnie jej
dodatkowe restrykcje.

Wywoływanie interaction workflow uznaję za workaround, ale workaround
jako taki nie rozwiązuje problemu a go zakrywa - jeśli to ograniczenie
implementacji, to niestety nie znalazłem takiej noty. Choć z drugiej
strony - jeśli coś można ustawić, to można przyjąć założenie, że
działa. :-)

Co do "włamania" do systemu - owszem, należy odpowiednio wypracować
definicję dostępu, tak by nieautoryzowany użytkownik sam sobie nie nadał
odpowiednich uprawnień - co niechcący wrzuciłem w jeden akapit.

Łukasz

-- 
Łukasz Nowak R&D Ventis http://www.ventis.com.pl/
tel: +48 32 768 16 85 fax: +48 32 392 10 61
``Use the Source, Luke...'' I am only craftsman.