New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Frontend-Editing: Nutzer kann fremde Daten abrufen #295
Comments
Da müsste man via Hook eine Abfrage machen oder bei den Taxonomie/Filtereinstellungen den Benutzer abfragen, ob der Datensatz wirklich dem Benutzer zugeordnet ist. |
Hallo Alexander, es würde ja schon reichen wenn die Detailanzeige die selben Filterregeln befolgen würde wie die zuvor verwendete Listung. so weit ich es gesehen habe, habe ich keine Möglichkeit gesonderte filterregeln für die Detailansicht anzugeben. Beim ändern der ID wird einfach "stupide" angezeigt. Sollte ich etwas übersehen haben wäre ich für nen kleinen Hinweis sehr dankbar. vielen Dank |
In meinen Augen ist das aus Sicherheitsgründen extrem kritisch zu sehen. Folgende Tests habe ich durchgeführt:
Wir können das gerne diskutieren, aber ich sehe das genauso, dass eine Filtereinstellung grundsätzlich für eine Hauptseite als auch für die Detailseite und die FE Seite gilt, ansonsten wären der Manipulation der Daten Tür und Tor geöffnet. Vielleicht fehlt aber auch nur eine Anweisung in diesem Fall die Definition der Seite aussehen soll. |
Hallo Alexander, gibt es hierzu schon eine Lösung? Freue mich über eine Anleitung, wie man das sicher abfängt. VG, |
Hallo in die Runde,
innerhalb meines Projektes kann ein Frontendnutzer verschieden Datensätze eingeben und bearbeiten. Dazu bin ich wie in der Beschreibung vorgegangen (https://catalog-manager.org/dokumentation/catalog-manager-frontend-editing.html). Das Anlegen, Speichern und Auflisten funktioniert wie erwartet einwandfrei.
Manipuliert der FE-Nutzer aber nun den Detailink indem er eine neue ID des Datensatzes eingibt gelangt er (wenn eine solche ID existiert) an die Daten eines anderen Nutzers. Die Filter sind wie im Beispiel gesetzt und ich habe nach 2 Stunden extensiver suche keine Lösung gefunden und bitte hiermit um Hilfe.
The text was updated successfully, but these errors were encountered: