Community « Le forum « Besoin d'aide «
Sécurité des fichiers
Bonjour,
je voulais empêcher qu'un membre authentifié puisse modifier les fichiers d'un autre membre donc je suis allé dans le Panneau de contrôle ->Configuration->Utilisateurs et là j'ai coché dans gestion des envois "Les fichiers peuvent être modifiés seulement par leurs auteurs, plus les associés et les éditeurs." Sauf que ça ne marche pas.
Dans le fichier users/configure.php, on a ça :
input type="radio" name="users_without_file_overloads" value="R"';
if(isset($context['users_without_file_overloads']) && ($context['users_without_file_overloads']== 'Y'))
Dans la condition la valeur à mettre ne serait-ce pas R au lieu de Y et je pense que ca doit etre pareil dans tous les fichiers où on teste la valeur de $context['users_without_file_overloads']?
Dans le fichier users/configure.php, on a ça :
input type="radio" name="users_without_file_overloads" value="R"';
if(isset($context['users_without_file_overloads']) && ($context['users_without_file_overloads']== 'Y'))
Dans la condition la valeur à mettre ne serait-ce pas R au lieu de Y et je pense que ca doit etre pareil dans tous les fichiers où on teste la valeur de $context['users_without_file_overloads']?
Problem has been recorded
| Misterk 21 posts |
Non personne ne sait ? 
|
Lasares from Montréal ou Chambly, Québec 810 posts |
Non, je ne sais pas ce qui ne va pas, mais je ne veux pas vous laisser sécher tout seul. Alors, je peux bien chercher avec vous. D'abord, disons que par défaut un membre, même authentifié, n'est pas supposé pouvoir modifier l'article d'un autre, à moins d'être associé, évidemment. Ce que vous êtes vraisemblablement. Avez-vous testé qu'un simple membre peut modifier l'article d'un autre ? Vous pouvez créer un profil test, au besoin. Par ailleurs, n'auriez-vous pas ajouté une option anonymous_edit, soit à la page (dans Options avancées), soit à la section (dans Options pour le contenu de cette section) où est située cette page. Cela expliquerait ce comportement.Si ni l'une ni l'autre de ces suggestions ne règle votre problème, il faudra faire appel à plus techie que moi, je le crains. On a si peu d'idée de ce qui est possible... |
| Misterk 21 posts |
Bonjour et merci de m'aider. Un membre authentifié ne peut pas modifier l'article d'un autre mais il peut modifier les fichiers ratachés à l'article en question ce qui n'est pas normal. J'ai regardé si l'option anonymous_edit était activé mais non. Si vous avez une autre idée ? |
| Lasares from Montréal ou Chambly, Québec 810 posts |
Vous avez bien vu. Cette possibilité de modifier les fichiers attachés est prévue pour faciliter la collaboration sur des fichiers. Il est évident que dans certains cas, cela ne convient pas. Cela peut même représenter un risque de sécurité dans certains cas, comme lorsque le fichier est aussi partie intégrante de l'article (je pense par exemple à un fichier flash comme ici Vous devriez faire une demande de Nouvelles fonctions pour ajouter l'option d'empêcher la modification. Pour l'instant, vous pouvez bloquer la modification par cette procédure, malheureusement un peu alambiquée : [1] restreindre le téléchargement aux associés et éditeurs (dans les Options avancées du fichier), ce qui aura pour effet de cacher aux autres membres le lien en bas de page vers le fichier attaché [2] créer un lien vers le fichier, dans le corps même de l'article, en utilisant le code Yacs [ file=999 ] (comme je l'ai fait par exemple, dans le dernier paragraphe de la page référencée plus haut)[3] utiliser ce lien pour aller à la page de téléchargement du fichier et le Détacher comme pour le modifier Ainsi, les visiteurs auront accès au fichier pour téléchargement, mais les options de modifications leur seront inaccessibles. On a si peu d'idée de ce qui est possible... |
| Misterk 21 posts |
Alors quand j'ajoute un fichier et que je restreint le téléchargement aux éditeurs et aux associés et bien un autre membre peut voir le fichier avec un cadenas à coté. En dessous du nom du fichier se trouve les options Zoom-Détacher-Mettre à jour-Supprimer. En cliquant sur zoom, détacher ou supprimer, j'ai le message comme quoi il n'est pas autorisé à faire ça mais si je clique sur modifier je peux changer le fichier. De plus imaginons qu'un membre veuille contribuer à l'article en rajoutant un fichier, il n'a pas la possibilité de gérer le téléchargement de son fichier.
|
| Misterk 21 posts |
Bon j'ai finalement réussi à faire marcher l'option que seul les éditeurs et les associés peuvent modifier les fichiers. J'ai changé la valeur de users_without_file_overloads par Y au lieu de R dans users/configure.php. La mise à jour vers la 8.3 avait écrasé ma modification et ça ne marchait pas Donc pour ceux que ça intéresse il y a une petite erreur dans le fichier. Voila merci Lasares de votre aide. |
| Misterk 21 posts |
Bizarre j'ai voulu remettre d'autre fichier et là les options détacher-mettre à jour-supprimer réapparaisse  Cela dépend il du type du fichier ? |
| Tof from Grenoble-Chambery 554 posts |
Merci d'avoir découvert et corrigé ce bug. Il est encore présent en version 8.5beta 31. Je le mets dans la liste des choses à intégrer en 8.6 Cordialement, Christophe
----- Christophe Battarel |
