[Erp5-poland] Security

[Jacek Medrzycki]

Sebastian Bijak pisze:
> Witam
>
> Pojawił mi się mały problem z security. Po nadaniu roli jakiejś grupie 
> użytkowników. A następnie po zalogowaniu się do erpa na konto 
> użytkownika przy próbie wyświetlenia zawartości udostępnionego modułu 
> / katalogu z obiektami erp rząda autoryzacji konta zope. Przy braku 
> autoryzacji pojawia się komunikat:
> *Error Type: Unauthorized *
> *Error Value: You are not allowed to access '1' in this context
> *
Moment, bo nie wiem czy dobrze rozumiem. Problem pojawia się przy próbie 
_wyświetlenia_ listy obiektów w module? (listbox wyświetlający obiekty)?

- Jedno z podejrzeń to nieprzeindeksowany moduł. Mechanizm jest taki - 
na skutek błędnej indeksacji listbox próbuje wyświetlić obiekt, do 
którego użytkownik de facto nie ma uprawnień. Normalnie, listbox nie 
próbuje wyświetlać nielegalnych obiektów, ale jeśli rzeczywiste 
uprawnienia rozjadą się z katalogiem (np. zostaną zmienione uprawnienia 
do obiektu, ale nie zostanie zrobiny reindex na obiekcie), to może się 
tak stać (czasami zachodzi też sytuacja odwrotna - listbox nie wyświetla 
obiektu choć można się do niego dostać po ścieżce wpisanej ręcznie). 
Jeśli tak, to powinno pomóc reindex recursive na module (i zastanowienie 
się, dlaczego nie było zreindeksowane).
Jeśli to nie pomoże, to trzeba będzie wykonać głębszą inwestygację ;)
J.