Skip to main content Help Control Panel

Login   A+   A-

Community «   Le forum «   Soupçons de bogues «  

Articles en attente de publication accessibles : Potentielle faille de sécurité?

Belmond -- on Mar. 5
En principe, un article posté mais non encore publié par un responsable de publication ne devrait-il pas être inaccessible pour les membres non-authentifiés?
Problem has been recorded

Issue description

    Je testais des fonctionnalités de mon serveur Yacs lorsque j'ai découvert une "anomalie" : bien que qu'aucun lien visible vers les pages en attente de publication ne soit accessible par les surfeurs anonymes, en saisissant tout simplement l'url relative vers les pages en attente de publication : articles/review.php, tout surfeur peut y accéder.

    Est-ce une faille au niveaub de la sécurité?

    A mon avis, tout ce qui n'est pas encore publié ne doit être visible que par celui qui l'a posté et les membres ayant des droits de publication pour ce faire.

    @+

Comments

Moi-meme
avatar
from Entre chaise et clavier...
1436 posts

on Mar. 5

Oui, question ouverte il y a longtemps déjà : Sujets en attente de publication visibles

Il semblerait que l'on ait gardé la possibilié d'accéder à un article non publié pour une raison idéologico-pratique : µBernard avait justifié celà (je ne retrouve pas exactement où) en décrivant un article non restreint au associés mais pour lequel plusieurs membres ou internautes peuvent discuter avant publication, donc le consulter.

Je ne sais pas quoi en penser. Je n'aime pas trop non plus qu'une non-publication soit quand même accessible, sans différencier les internautes qui y ont accès. Ce serait peut-être utile de garder la fonction de non-publication, mais en y adjoignant un mot de passe temporaire prélablement défini par l'auteur afin qu'il le fournisse en privé aux personnes censés quand même pouvoir le consulter. Quelque chose dans le genre.

A cogiter...

-----
yacs-team.png
Comment YACS entend le droit de publication <- Un peu de visibilité à ce débat important pour YACS...
Yacs.Info : l'atelier ordinaire des innovations

Nuxwin
avatar
from Caen, devant mon bureau
190 posts

on Mar. 20

Bonjour ;

Oups, je viens de tomber sur ce post qui rejoint le problème que je viens de décrire dans ce post -->

Problème Similaire

Je ne sais pas comment Bernard à justifié le fait qu'il s'agisse d'un comportement normal mais en tout logique, les documents non publiés ne devrais pas être accessibles. En effet, la logique d'un article non publié est qu'il soit accessible aux seuls éditeur (de l'article) et associés (administrateurs du site), pas aux moteurs de recherche considérés comme de simples surfeurs.

2 comments

Rate this page
Posted by LeToto on Mar. 5, edited by Nuxwin on Mar. 20, (popular)