Přihlásit se

Joomla 5.2.2 Security & Bugfix Release

Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.

J!2 Čachrování s právy

04. čvc 2012 14:35 - 04. čvc 2012 14:35 #95314
J!2 Čachrování s právy od Martin Bartůněk |anBLOK|
Začátečník
Jako Superadmin z jistého opodstatněného důvodu přiděluji jisté skupině osob práva Moderátora. Nechci, aby mohl ke komponentám atd atd…
Ke svému překvapení zjišťuji, že Moderátor má právo vytvořit nového Uživatele. A nejen ledajakého. Administrátora. Takže kdokoli snadno obejde zamýšlenou restrikci. Jednoduše si udělá „duplikát“ svého účtu a tentokrát jako Administrátor může „do všeho“.

To mi přijde docela nedomyšlené, a z hlediska bezpečnosti pořádný faul…

Snažím se přijít na to, jak vytvořit účet Manažera, který může k vybraným komponentám, modulům etc. A uživatele může vytvářet pouze s nižším oprávněním, než má on sám - tedy v podstatě pouze registrované uživatele…

04. čvc 2012 19:17 #95327
Odpověď od Svatopluk Vít
Moderátor
Právě jsem to nahlásil jako chybu na globálním fóru. Uvidíme, co se z toho vyvrbí. Jaká přesně je to verze Joomly?

Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.
Poděkovali: Martin Bartůněk |anBLOK|

04. čvc 2012 19:21 - 04. čvc 2012 19:28 #95328
Odpověď od Martin Bartůněk |anBLOK|
Začátečník
Verze je Joomla! 2.5.6. Děkuji! :)
BTW: Samozřejmě, kde píši „Moderátor“, jde o chybu - má být Manažer… pardon.

05. čvc 2012 13:47 #95352
Odpověď od Svatopluk Vít
Moderátor
Je možné to nějak zdokumentovat screenshoty? Nepovedlo se to totiž nasimulovat. Ve výchozím stavu se to tak nechová, Manager nemá přístup k User manageru.

Jedna z hlav české komunity redakčního systému Joomla! a první překladatel uživatelského rozhraní k ní.

22. čvc 2012 17:49 #95801
Odpověď od Martin Bartůněk |anBLOK|
Začátečník
Ano, ve výchozím stavu nemá. Jenže potřebuji, aby Manažer mohl spravovat účty níže postavených uživatelů. Povolil jsem tedy přístup ke správci uživatelů, ovšem v tu chvíli má manažer možnost manipulovat se všemi oprávněními vyjma Superadmina, tedy i účtem administrátora, resp. oprávnění administrátora přidělit.

Powered by Fórum