SECURITé : accès invité possible aux enregistrés

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] SECURITé : accès invité possible aux enregistrés

    Attention : Il y a une erreur dans mon message original, ne pas lire 'visiteur', mais 'invité'. Je ne corrige pas dans le texte.

    Bonjour à tous,

    je constate un problème de sécurité qui ne me va pas du tout....
    Avant de reporter éventuellement cela plus 'haut', j'aurai voulu avoir confirmation du problème !

    J'ai un lien de menu qui est en accès 'visiteur',
    et bien un utilisateur enregistré peut quand même accéder au contenu de la page liée.
    Ok, le lien de menu ne s'affiche pas pour lui, il faut qu'il est l'URL,
    et ok joomla annonce : "Erreur Vous n'êtes pas autorisé à accéder à cette ressource."

    M'enfin le contenu s'affiche quand même...
    J'ai loupé quelque chose ?

    Merci de vos retours.
    Laurent.

    Testé sur Joomla! 3.2.3
    Dernière édition par laurent.claude à 24/04/2014, 09h39 Raison: mauvais vocabulaire
    --
    Laurent

  • #2
    Re : SECURITé : accès visiteur possible aux enregistrés

    Bonsoir

    Envoyé par laurent.claude Voir le message
    J'ai un lien de menu qui est en accès 'visiteur',
    et bien un utilisateur enregistré peut quand même accéder au contenu de la page liée.
    J'ai dû mal à te suivre ici.

    Tu as un lien accessible à "visiteur" (et donc à tout le monde non ?)
    et tu mentionnes qu'un utilisateur authentifié peut accéder au lien.

    C'est toi qui a mal expliqué ou c'est moi qui comprends mal le problème ?

    Bonne nuit.
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : SECURITé : accès visiteur possible aux enregistrés

      Envoyé par cavo789 Voir le message
      C'est toi qui a mal expliqué ou c'est moi qui comprends mal le problème ?
      Oupppsss.... désolé il y a une coquille...
      Ce n'est pas visiteur que je voulais dire, mais "invité".

      Et il me semble que l'accès "invité" ne donne droit qu'aux personnes qui ne sont pas connectée aux site, n'est-ce pas ?
      Or moi je constate qu'un user connecté au site (donc au moins 'enregistré') peut tout de même accéder a du contenu 'invité', du moment qu'il dispose de l'url...

      Suis-je plus clair ?
      Merci
      --
      Laurent

      Commentaire


      • #4
        Re : SECURITé : accès visiteur possible aux enregistrés

        Bonjour Laurent,
        Peut-être que si tu nous fournis une url pour voir, cela nous permettrait d'y voir plus clair...
        Cordialement,
        Chabi01 - http://www.xlformation.com

        Commentaire


        • #5
          Re : SECURITé : accès invité possible aux enregistrés

          Bonjour,

          Cavo a raison, le groupe Public (invité ?) est le père de tous les groupes, ceux qui ont accès à Invité ont accès à tout. Si tu regardes la gestion des groupes en V 3+ (Administration > Utilisateurs > Groupes) tu verras que Enregistré hérite des droits de Invité

          Ce qui est autorisé à Invité l'est de base à tous les autres groupes définis de Joomla.
          Il y a 10 sortes de gens. Ceux qui savent compter en binaire et ceux qui ne savent pas ...

          Commentaire


          • #6
            Re : SECURITé : accès invité possible aux enregistrés

            Bonjour à tous,

            Déjà : merci de vos réponses !

            Bonjour Laurent,
            Peut-être que si tu nous fournis une url pour voir, cela nous permettrait d'y voir plus clair...
            Alors voilà une page de test :

            J'y ai créé un lien de menu en accès 'invité' : http://www.laurentclaude.fr/demo/J3/...n-acces-invite

            J'ai un user (login : 'joomla' et mdp : 'demo') qui est un simple enregistré.

            Quand tu arrives sur le site tu peux voir le lien de menu, tu te connectes alors tu ne vois plus ce lien de menu. Pour moi c'est le fonctionnement normal de ce type d'accès. Cela permet d'afficher des trucs seulement pour les non connectés, je trouve ça top.
            Mais une fois connecté si tu retournes sur l'url du lien 'invité' alors le contenu s'affiche quand même. Ok avec un message d'erreur, mais quand même.... je trouve que ça ne le fait pas là...


            Cavo a raison, le groupe Public (invité ?) est le père de tous les groupes, ceux qui ont accès à Invité ont accès à tout. Si tu regardes la gestion des groupes en V 3+ (Administration > Utilisateurs > Groupes) tu verras que Enregistré hérite des droits de Invité
            Là je ne suis pas d'accord avec toi.
            Il me semble que 'Enregistré' est au même niveau que 'Invité'. Je ne vois pas de relation de parent entre eux.

            Merci.
            --
            Laurent

            Commentaire


            • #7
              Re : SECURITé : accès invité possible aux enregistrés

              Bonjour laurent.claude,

              Le lien de menu a un niveau d'accès 'invité'.

              Quel est le niveau d'accès de l'article pointé par ce lien de menu ?

              Amicalement,
              Rajoz

              Commentaire


              • #8
                Re : SECURITé : accès invité possible aux enregistrés

                Bonjour Rajoz,

                Oui, en effet, l'article est en accès public.
                Est-ce que cela voudrait dire que je dois changer le type d'accès aussi pour tous mes contenus, composant, modules, etc.... ?

                Je trouverais dommage ce type de fonctionnement : un message d'erreur, mais l'affichage se fait quand même. Il faudrait au moins que l'affichage de la zone de contenu soit bloqué.
                Vous croyez pas ?

                Merci, d'autres idées ?
                Dernière édition par laurent.claude à 23/04/2014, 11h08 Raison: ajout remarque
                --
                Laurent

                Commentaire


                • #9
                  Re : SECURITé : accès invité possible aux enregistrés

                  Bonjour,
                  Si ton article est en public, il est alors visible par tous.
                  Logiquement, je procèderai de cette manière :
                  - si l'article est réservé, c'est sur lui qu'il faut mettre les droits (pour contrôler l'affichage de l'article)
                  - si l'élément de menu est réservé (visible) pour une personne ou un groupe, il faut mettre également les droits en plus dessus (pour afficher ou masquer le lien dans le menu)
                  Cordialement,
                  Chabi01 - http://www.xlformation.com

                  Commentaire


                  • #10
                    Re : SECURITé : accès invité possible aux enregistrés

                    Bonjour laurent.claude,
                    Envoyé par laurent.claude Voir le message
                    Oui, en effet, l'article est en accès public.
                    C'était effectivement la réponse à laquelle je m'attendais en posant la question.

                    Un lien de menu vers un article n'est que l'affichage d'une URL vers un article. Si le lien de menu est protégé par un niveau d'accès il ne s'affiche pas, mais l'URL vers l'article non protégé reste valide.

                    Le comportement que tu as constaté est lié à ce que quand Joomla! affiche l'article, il va chercher les paramètres du lien de menu dont dépend l'article (ex: affichage du titre, catégorie, date, en-tête page, etc.). Comme le lien de menu est protégé, il y a une erreur dans cette recherche de paramètres mais l'article non protégé s'affiche quand même en utilisant, selon la configuration, les paramètres globaux ou les paramètres de l'article.

                    Comme l'a indiqué chabi01, pour que le niveau d'accès joue pleinement son rôle dans ce cas, il faut protéger à la fois le lien de menu et l'article.

                    Amicalement,
                    Rajoz

                    Commentaire


                    • #11
                      Re : SECURITé : accès invité possible aux enregistrés

                      Bonjour à tous,

                      Bon ok on gère chaque élément (menu, article, etc.) les uns indépendamment des autres.
                      C'est plus long à faire, mais c'est plus précis.
                      Je vais donc revisiter ma façon de voir les choses, faire une petite mise à jour du programme qui se situe entre la chaise et l'ordinateur...
                      Me suis un peu emballé sur cette affaire

                      En tous cas : merci à tous de votre temps et de vos point de vues.
                      Laurent
                      --
                      Laurent

                      Commentaire


                      • #12
                        Re : SECURITé : accès invité possible aux enregistrés

                        Bonne continuation
                        Cordialement,
                        Chabi01 - http://www.xlformation.com

                        Commentaire

                        Annonce

                        Réduire
                        Aucune annonce pour le moment.

                        Partenaire de l'association

                        Réduire

                        Hébergeur Web PlanetHoster
                        Travaille ...
                        X