Velký bezpečnostní problém – ano nebo ne?

Skoro před měsícem mě zaujalo hlášení jednoho problému v LN a tak jsme se jali testovat. Problém vypadá opravdu vážně – uživatel může smazat dokumenty, které nevidí.

Po testech musíme říct, že to naštěstí (snad) není tak vážné. Testovali jsme verze 6.5.4, 6.5.5, 7.0.1 a 7.0.2. Vždy jsme testovali přístup na úrovni Author a Editor.

Popis problému

  • vytvoř databázi
  • vytvoř formulář s čtenářským políčkem (a autorským, vypočítávaným ze čtenářského)
  • vytvoř několik dokumentů, každý pro jiného uživatele

Výsledky

  • pokud má člověk práva na úrovni Authora, vše funguje správně
  • pokud má člověk práva na úrovni Editora a vidí alespoň jeden dokument, pak po stisku Ctrl+A dojde k označení všech dokumentů v databázi a může je smazat
  • pokud člověk nevidí žádný dokument, nemůže ani žádný označit (ani pomocí Ctrl+A)
  • člověk nemůže zkopírovat dokumenty, které nevidí, do clipboardu (a tedy do jiné databáze)
  • pokud dojde k přeuložení pohledu, který je standardně vytvořen v nové databázi, tak je vše v pořádku

V IBM chybu zaevidovali a přidělili jí evidenční číslo SPR TPEL6TULFC. Za sebe mohu říci, že pokud chyba i v jiných konfiguracích zmizí po přeuložení pohledu (a neobjevuje se u nově vytvořených pohledů) pak je naštěstí vše v zásadě v pořádku. Standardně vytvořený pohled totiž málo kdo nechává bez úprav.

Leave a Reply