Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
J!2 Čachrování s právy
04. čvc 2012 14:35 - 04. čvc 2012 14:35 #95314
Jako Superadmin z jistého opodstatněného důvodu přiděluji jisté skupině osob práva Moderátora. Nechci, aby mohl ke komponentám atd atd…
Ke svému překvapení zjišťuji, že Moderátor má právo vytvořit nového Uživatele. A nejen ledajakého. Administrátora. Takže kdokoli snadno obejde zamýšlenou restrikci. Jednoduše si udělá „duplikát“ svého účtu a tentokrát jako Administrátor může „do všeho“.
To mi přijde docela nedomyšlené, a z hlediska bezpečnosti pořádný faul…
Snažím se přijít na to, jak vytvořit účet Manažera, který může k vybraným komponentám, modulům etc. A uživatele může vytvářet pouze s nižším oprávněním, než má on sám - tedy v podstatě pouze registrované uživatele…
Ke svému překvapení zjišťuji, že Moderátor má právo vytvořit nového Uživatele. A nejen ledajakého. Administrátora. Takže kdokoli snadno obejde zamýšlenou restrikci. Jednoduše si udělá „duplikát“ svého účtu a tentokrát jako Administrátor může „do všeho“.
To mi přijde docela nedomyšlené, a z hlediska bezpečnosti pořádný faul…
Snažím se přijít na to, jak vytvořit účet Manažera, který může k vybraným komponentám, modulům etc. A uživatele může vytvářet pouze s nižším oprávněním, než má on sám - tedy v podstatě pouze registrované uživatele…
04. čvc 2012 19:17 #95327
Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.
Odpověď od Svatopluk Vít
Moderátor
Právě jsem to nahlásil jako chybu na globálním fóru. Uvidíme, co se z toho vyvrbí. Jaká přesně je to verze Joomly?
Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.
Poděkovali: Martin Bartůněk |anBLOK|
04. čvc 2012 19:21 - 04. čvc 2012 19:28 #95328
Odpověď od Martin Bartůněk |anBLOK|
Začátečník
Verze je Joomla! 2.5.6. Děkuji!
BTW: Samozřejmě, kde píši „Moderátor“, jde o chybu - má být Manažer… pardon.
BTW: Samozřejmě, kde píši „Moderátor“, jde o chybu - má být Manažer… pardon.
05. čvc 2012 13:47 #95352
Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.
Odpověď od Svatopluk Vít
Moderátor
Je možné to nějak zdokumentovat screenshoty? Nepovedlo se to totiž nasimulovat. Ve výchozím stavu se to tak nechová, Manager nemá přístup k User manageru.
Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.
22. čvc 2012 17:49 #95801
Odpověď od Martin Bartůněk |anBLOK|
Začátečník
Ano, ve výchozím stavu nemá. Jenže potřebuji, aby Manažer mohl spravovat účty níže postavených uživatelů. Povolil jsem tedy přístup ke správci uživatelů, ovšem v tu chvíli má manažer možnost manipulovat se všemi oprávněními vyjma Superadmina, tedy i účtem administrátora, resp. oprávnění administrátora přidělit.