Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Frontend-Editing: Nutzer kann fremde Daten abrufen #295

Closed
SohnDesMogh opened this issue Jan 18, 2021 · 5 comments
Closed

Frontend-Editing: Nutzer kann fremde Daten abrufen #295

SohnDesMogh opened this issue Jan 18, 2021 · 5 comments
Labels
support

Comments

@SohnDesMogh
Copy link

Hallo in die Runde,

innerhalb meines Projektes kann ein Frontendnutzer verschieden Datensätze eingeben und bearbeiten. Dazu bin ich wie in der Beschreibung vorgegangen (https://catalog-manager.org/dokumentation/catalog-manager-frontend-editing.html). Das Anlegen, Speichern und Auflisten funktioniert wie erwartet einwandfrei.

Manipuliert der FE-Nutzer aber nun den Detailink indem er eine neue ID des Datensatzes eingibt gelangt er (wenn eine solche ID existiert) an die Daten eines anderen Nutzers. Die Filter sind wie im Beispiel gesetzt und ich habe nach 2 Stunden extensiver suche keine Lösung gefunden und bitte hiermit um Hilfe.
@alnv
Copy link
Owner

alnv commented Jan 22, 2021

Da müsste man via Hook eine Abfrage machen oder bei den Taxonomie/Filtereinstellungen den Benutzer abfragen, ob der Datensatz wirklich dem Benutzer zugeordnet ist.

@alnv alnv added the support label Jan 22, 2021
@SohnDesMogh
Copy link
Author

Hallo Alexander,

es würde ja schon reichen wenn die Detailanzeige die selben Filterregeln befolgen würde wie die zuvor verwendete Listung. so weit ich es gesehen habe, habe ich keine Möglichkeit gesonderte filterregeln für die Detailansicht anzugeben. Beim ändern der ID wird einfach "stupide" angezeigt. Sollte ich etwas übersehen haben wäre ich für nen kleinen Hinweis sehr dankbar.

vielen Dank

@gfassben
Copy link

In meinen Augen ist das aus Sicherheitsgründen extrem kritisch zu sehen. Folgende Tests habe ich durchgeführt:

  • Taxonomie eingestellt auf den User/Autor: Diese Taxonomie ist auf der FE seite und der Detailseite nicht mehr vorhanden.
  • Separate Seite zur Pflege mit Filter und Taxonomie eingestellt: Das Ergebnis bleibt fehlerhaft.

Wir können das gerne diskutieren, aber ich sehe das genauso, dass eine Filtereinstellung grundsätzlich für eine Hauptseite als auch für die Detailseite und die FE Seite gilt, ansonsten wären der Manipulation der Daten Tür und Tor geöffnet.

Vielleicht fehlt aber auch nur eine Anweisung in diesem Fall die Definition der Seite aussehen soll.

@gfassben
Copy link

Noch eine Ergänzung: Ich habe "Erweiterte Privilegien" aktiviert:

Privilegien

Aufgrund der aktivierten Hooks hätte ich jetzt erwartet, dass diese Einschränkung zieht...

@hangarsieben
Copy link

Hallo Alexander,

gibt es hierzu schon eine Lösung? Freue mich über eine Anleitung, wie man das sicher abfängt.

VG,
cp

@alnv alnv closed this as completed Dec 15, 2022
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
support
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
4 participants
@alnv @hangarsieben @gfassben @SohnDesMogh