Carnet Wiki

Ou placer les tests d’autorisation pour un CVT

Version 2 — 7 February YannX

12:17:27 - g0uZ : dans un form CVT, je capte pas a quoi ca sert de faire une vérification sur une autorisation dans C et pas dans V, c’est un trou de sécurité à mon sens 12:17:46 - g0uZ : par exemple editer_auteur fonctionne comme ca 12:17:51 - g0uZ : (pas d impact ou presque) 12:18:20 - YannX : comment fais-tu pour lancer / executer un formulaire sans etre passé par CHarger ? 12:18:22 - g0uZ : enfin grosso merdo l’autorisation creer_auteur sert a rien en l’état 12:19:18 - jmvanel a quitté le canal (Quit : Ping timeout: 268 seconds). 12:20:06 - g0uZ : YannX: imagine que le résultat de l autorisation change au cours du temps 12:20:16 - g0uZ : au départ je peux passer par C 12:20:37 - g0uZ : par exemple la je veux juste mettre une limite sur le nombre d utilisateur qu’on peut créer 12:21:05 - YannX : ok... je n’avais pas pensé au multi-postes/multi-thread 12:22:29 - g0uZ : ce que je constate mon : autoriser_auteur_creer() a beau retourner false je peux créer des users... 12:22:38 - g0uZ : mais pas afficher le form de création 12:24:34 - RastaPopoulos : bah comment tu peux créer tes users si tu peux pas afficher le form ? 12:24:53 - g0uZ : bah pr les permiers je peux 12:25:06 - g0uZ : une fois la limite dépassé, je demande juste a mon browser la page précedente 12:25:17 - RastaPopoulos : ok je vois 12:25:18 - g0uZ : il me recharge le C d avant 12:25:29 - g0uZ : et je peux renvoyer autant de fois le form que je veux 12:25:32 - g0uZ : dc bon 12:26:04 - RastaPopoulos : bah suivant les cas faudrait le mettre partout 12:26:09 - RastaPopoulos : car ya deux choses différentes 12:26:13 - RastaPopoulos : même trois 12:26:44 - RastaPopoulos : ya le problème ergonomique d’interface : on n’a pas à afficher du tout un élément d’interface que l’utilisateur ne devrait pas avoir le droit d’utiliser 12:26:47 - RastaPopoulos : donc ça c’est en amont 12:27:26 - RastaPopoulos : ensuite ya l’utilisation du formulaire s’il est déjà affiché, si on l’a déjà dans l’historique 12:27:43 - RastaPopoulos : et après ya l’action elle-même, même en dehors du formulaire 12:27:52 - RastaPopoulos : action/editer_auteur etc 12:28:10 - RastaPopoulos : qui peut être appelé même en dehors de tel formulaire CVT fourni par défaut 12:28:17 - RastaPopoulos : et là aussi il devrait y avoir le test d’autorisation 12:28:51 - RastaPopoulos : puisque si un autre formulaire, bouton, ou API JSON, que sais-je, utilise cette action plus direct, ça devrait faire un refus si ya pas le droit
bref : clairement pour moi ya plein d’incohérence et de truc pas solide dans l’édition des objets SPIP, entre les formualires (qui sont UNE interface précis) et les fonctions/actions d’API (qui peuvent être appelés par d’autres formulaires)