Strona główna > Aktywność > Forum > Ogólne > Edycja wybranych atrybutów (ważne!)

Edycja wybranych atrybutów (ważne!)

Poprzedni temat

Ogólne

Następny temat

Musisz być zalogowany aby uzyskać dostęp do forum. Możesz się zalogować tutaj

Autor	Wiadomość
Piotr Karaś Postów: 54 od 18/11/2006	^ Top Piątek 04 Lipiec 2008 2:17:25 pm Edycja wybranych atrybutów (ważne!) Witajcie, Nie jestem pewien czy wszyscy już o tym wiedzą, więc na wszelki wypadek umieszczam info. Jak pewnie wiecie, w eZ Publish do wersji 4.0.0 włącznie (być może z przerwami) istniała możliwość omijania w warstwie interfejsu wybranych atrybutów podczas edycji obiektu. Możliwość ta była dość przydatna, kiedy zależało nam na tym, aby nie dawać użytkownikowi wpływu na zawartość któregoś z atrybutów. Oczywiście, każdy bardziej doświadczony programista wie o tym, że brak kontroli nad taką możliwością oznacza dziurę w bezpieczeństwie, chociaż oczywiście trudną do wykorzystania przez osoby trzecie, natomiast umożliwiającą nadużycia przez użytkownika uprawnionego do edycji danego obiektu (obecnie nie istnieje system uprawnień zahaczający aż o atrybuty). Z tą samą cechą związana była najprawdopodobniej podatność systemu na "puste rejestracje" użytkowników. Niezależnie od tego, wielu wdrożeniowców skorzystało z tej cechy aby rozwiązać taki lub inny problem wdrożeniowy, bardzo często będąc w ogóle nieświadomymi, że korzystają raczej z dziury, niż feature'a ;) Tak w ogóle, problem nie dotyczy tyle rdzenia eZ, co pojedynczych wbudowanych typów danych (ale za to w większości). Tak czy inaczej, po wielu miesiącach (a może i latach) cecha ta została uznana za błąd, i najprawdopodobniej zostanie załatana w najbliższych wydaniach minorowych, czyli na przykład 4.0.1. Z Waszymi stronami nic złego się nie stanie, ale może się tak zdarzyć, że po updacie Wasze formularze nie będą się walidowały, co zatrzyma skutecznie proces publikacji i edycji we frontendach ;) Później mogę podpowiedzieć jak sobie ewentualnie poradzić z tematem oraz jakie są rozwiązania alternatywne. Problem był omawiany w kuluarach podczas konferencji z paroma core developerami z eZ, udało mi się też w końcu lekko rozruszać wątek na forum. Pozostaje śledzić co się wydarzy. Więcej info: http://issues.ez.no/10655 http://ez.no/developer/forum/sugg...flag_element_in_the_class_definition http://issues.ez.no/IssueView.php?Id=12889&activeItem=2 http://ez.ryba.eu/index.php/ez_pu...e_flag_on_the_object_attribute_level http://ez.no/developer/forum/gene...vey_partial_object_edit_important__3 ----- mediaSELF.pl: http://www.mediaSELF.pl Developer's blog: http://ez.ryba.eu Certified developer: http://ez.no/certification/verify/222415

Autor

Wiadomość

Piotr Karaś

Postów: 54 od 18/11/2006

^ Top

Piątek 04 Lipiec 2008 2:17:25 pm

Edycja wybranych atrybutów (ważne!)

Witajcie,

Nie jestem pewien czy wszyscy już o tym wiedzą, więc na wszelki wypadek umieszczam info.

Jak pewnie wiecie, w eZ Publish do wersji 4.0.0 włącznie (być może z przerwami) istniała możliwość omijania w warstwie interfejsu wybranych atrybutów podczas edycji obiektu. Możliwość ta była dość przydatna, kiedy zależało nam na tym, aby nie dawać użytkownikowi wpływu na zawartość któregoś z atrybutów. Oczywiście, każdy bardziej doświadczony programista wie o tym, że brak kontroli nad taką możliwością oznacza dziurę w bezpieczeństwie, chociaż oczywiście trudną do wykorzystania przez osoby trzecie, natomiast umożliwiającą nadużycia przez użytkownika uprawnionego do edycji danego obiektu (obecnie nie istnieje system uprawnień zahaczający aż o atrybuty). Z tą samą cechą związana była najprawdopodobniej podatność systemu na "puste rejestracje" użytkowników.

Niezależnie od tego, wielu wdrożeniowców skorzystało z tej cechy aby rozwiązać taki lub inny problem wdrożeniowy, bardzo często będąc w ogóle nieświadomymi, że korzystają raczej z dziury, niż feature'a ;) Tak w ogóle, problem nie dotyczy tyle rdzenia eZ, co pojedynczych wbudowanych typów danych (ale za to w większości).

Tak czy inaczej, po wielu miesiącach (a może i latach) cecha ta została uznana za błąd, i najprawdopodobniej zostanie załatana w najbliższych wydaniach minorowych, czyli na przykład 4.0.1. Z Waszymi stronami nic złego się nie stanie, ale może się tak zdarzyć, że po updacie Wasze formularze nie będą się walidowały, co zatrzyma skutecznie proces publikacji i edycji we frontendach ;)

Później mogę podpowiedzieć jak sobie ewentualnie poradzić z tematem oraz jakie są rozwiązania alternatywne.

Problem był omawiany w kuluarach podczas konferencji z paroma core developerami z eZ, udało mi się też w końcu lekko rozruszać wątek na forum. Pozostaje śledzić co się wydarzy.

Więcej info:
http://issues.ez.no/10655
http://ez.no/developer/forum/sugg...flag_element_in_the_class_definition
http://issues.ez.no/IssueView.php?Id=12889&activeItem=2
http://ez.ryba.eu/index.php/ez_pu...e_flag_on_the_object_attribute_level
http://ez.no/developer/forum/gene...vey_partial_object_edit_important__3

-----
mediaSELF.pl: http://www.mediaSELF.pl
Developer's blog: http://ez.ryba.eu
Certified developer: http://ez.no/certification/verify/222415

Musisz być zalogowany aby uzyskać dostęp do forum. Możesz się zalogować tutaj

eZ publish w Polsce

Open Source Enterprise Content Management System

Górne menu

Podmenu

Edycja wybranych atrybutów (ważne!)

Edycja wybranych atrybutów (ważne!)