[beta] La recherche permet de lire du contenu auquel on ne doit pas avoir accès #2874
Comments
firm1
added
S-Régression
|
Lesquels ? si je suis ton lien, on peut accéder au sujet sans se taper de 403 en tant que membres. Tu as pas un lien qui marche pas car j'arrive pas à reproduire en local. Ton user à plusieurs groupes ? ou pas ? Quels droits sur le sujet ? |
|
Je t'ai rajouté au groupe devs sur le beta pour que tu puisse vérifier. C'est le prérequis pour reproduire la regression |
|
Ok, je vois le bug, c'est des groupes créé avec l'interface admin de Django ? |
Oui |
|
C'est surement cette ligne mais avec le bug haystack, c'est vite compliqué: https://github.com/zestedesavoir/zds-site/blob/release-v15.6/zds/search/views.py#L44 Je vais finalement pencher pour la solution, valeur sentinelle. |
|
Et si on donne un privilège bidon à tous les groupes (exemple : le droit de lire les forums publics), est-ce que ça ne contourne pas le problème ? |
|
Parce que ça me ferait chier de bloquer encore une release pour un problème qui ne concerne à priori que quelques personnes. |
|
Au contraire, la a priori seul les dev peuvent voir des extraits des fofos staff ou CA alors qu'ils ne devraient pas (et les staff peuvent voir le fofo CA) |
|
Voila, c'est corrigé comme ça, on en parle plus. |
|
Corrigé ! |
Prérequis.
Appartenir à un groupe qui n'a aucun privilège particulier (dev par exemple).
Url incriminée : http://beta.zestedesavoir.com/rechercher/?q=hello+staff
On voit dans la liste des résultats des informations censés être réservés au forum staff. Ce qui n'est pas normal, d'autant plus quand essayant d'y acceder on tombe bien sur une 403. Le fait est qu'on peut ainsi lire des bout de conversations qui ne nous regarde guère.
Il s'agit donc ici d'une regression. j'hésite à tagguer en bloquant car on se rapproche de la faille ici.
The text was updated successfully, but these errors were encountered: