[Erp5-poland] Security zmieniające się w czasie życia systemu
Łukasz Nowak
lukasz.nowak w ventis.com.pl
Śro, 13 Lut 2008, 17:51:52 CET
Cześć,
On 2008-02-13, 17:19:26
Mikolaj Antoszkiewicz <mikolaj w erp5.pl> wrote:
(...)
> Dlaczego błędem i jak by ten użyszkodnik miał się włamać do systemu?
> Dopóki nie zostanie mu otwarty Assignment (i skatalogowany) nie
> będzie się do niego mógł nawet zalogować.
Wybacz. Źle to ująłem
Przez błąd rozumiałem fakt, że nie jest brana
pod uwagę poprawnie definicja poziomów dostępu - dokładnie jej
dodatkowe restrykcje.
Wywoływanie interaction workflow uznaję za workaround, ale workaround
jako taki nie rozwiązuje problemu a go zakrywa - jeśli to ograniczenie
implementacji, to niestety nie znalazłem takiej noty. Choć z drugiej
strony - jeśli coś można ustawić, to można przyjąć założenie, że
działa. :-)
Co do "włamania" do systemu - owszem, należy odpowiednio wypracować
definicję dostępu, tak by nieautoryzowany użytkownik sam sobie nie nadał
odpowiednich uprawnień - co niechcący wrzuciłem w jeden akapit.
Łukasz
--
Łukasz Nowak R&D Ventis http://www.ventis.com.pl/
tel: +48 32 768 16 85 fax: +48 32 392 10 61
``Use the Source, Luke...'' I am only craftsman.
More information about the Erp5-poland
mailing list