eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.wwwProblem z bezpieczeństwem danychRe: Problem z bezpieczeństwem danych
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!.POSTED!not-for-mail
    From: Marek <p...@s...com>
    Newsgroups: pl.comp.www
    Subject: Re: Problem z bezpieczeństwem danych
    Date: Wed, 07 Jan 2015 18:54:35 +0100
    Organization: ICM, Uniwersytet Warszawski
    Lines: 32
    Message-ID: <m8jl4p$t1o$1@news.icm.edu.pl>
    References: <m8jaa5$alf$1@news.icm.edu.pl> <m8jbtn$58q$1@news.icm.edu.pl>
    <o...@a...home>
    NNTP-Posting-Host: 89-69-222-145.dynamic.chello.pl
    Mime-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-2; format=flowed
    Content-Transfer-Encoding: 8bit
    X-Trace: news.icm.edu.pl 1420646361 29752 89.69.222.145 (7 Jan 2015 15:59:21 GMT)
    X-Complaints-To: u...@n...icm.edu.pl
    NNTP-Posting-Date: Wed, 7 Jan 2015 15:59:21 +0000 (UTC)
    User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:31.0) Gecko/20100101
    Thunderbird/31.3.0
    In-Reply-To: <o...@a...home>
    Xref: news-archive.icm.edu.pl pl.comp.www:402924
    [ ukryj nagłówki ]

    W dniu 2015-01-07 o 16:41, Jordan Szubert pisze:

    >
    > może i coś się da wykombinować w tę stronę, ale czemu? jeżeli użytkownik
    > ma prawo edytować 1 i 2, to czemu nie akceptować edycji do 1 i 2, a
    > odrzucać do 3 niezależnie od tego, czy i kiedy 1 i 2 zostały wysłane do
    > użytkownika do oglądania i może edycji?
    >

    W dobrą stronę kombinujesz. Moją intencją jest ograniczenie do edycji #2
    bo nie ma pewności, że użytkownik ma prawo do edycji / wyświetlania /
    edycji / itp #1 i #3. Zabezpieczenie realizuję w tym CMS na poziomie
    formatki każdego dokumentu. Formatka zawiera wstawione specjalne tagi,
    które zastępowane są pracą modułów programowych. Pierwszy z nich zwykle
    bada czy dany użytkownik ma prawo do wyświetlenia danej strony - i jeśli
    nie, to przekierowuje Na "sorry, nie masz uprawnień". Pozostałe moduły
    generują treść itp. Jest tam też JS, który np. pozwala dodawać / usuwać
    obrazki. Jeśli z poziomu JS przekażę w Ajaxie polecenie "usuń obrazek #1
    z w/w dokumentu #2" to dociera ono do elementu PHP nie związanego z
    dokumentem #2 np. ajaxZarzadzaObrazkamiDokumentu.php. Muszę go więc
    jakoś poinformować, że grzebiemy ID #2 i mamy skasować w nim obrazek #1.
    No i jeśli teraz ktoś podmieni w przeglądarce to co Ajax ma wysłać, to
    może w dowolnym innym dokumencie skasować obrazek #1. Musiałbym dublować
    walidację uprawnień w PHP, czego wolałbym uniknąć. Dlatego byłoby
    sensownie "niejawnie" poinformować w/w plik PHP, że działa w kontekście
    dokumentu #2.

    Szukam najprostszego rozwiązania.

    --
    Pozdrawiam,
    Marek

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: