Se ne parla già qui:
abadger wrote at 2011-1-31 23:30 -0800:
>Users who are not in the Administrator group are able to view 'Site Setup'
>on my Plone 4.0.2 installation. Is being in the role 'Manager' the same as
>being 'Administrator' group.
Christian already answered your question. I just want to add an
explanation.
Zope's basic security mechanism does not know about groups
but only about roles (and permissions).
Groups are a separate concept, build on top of Zope.
The "Groups" implementation in Plone allows you to assign
users to groups and give whole groups roles (maybe in a localized
context, so called "local roles").
The effective roles of a user are those he got assigned directly
and those he got indirectly via group membership.
Quindi forse basta toglie il ruolo manager al gruppo manager (se non lo
si usa per il proprio sito) per evitare problemi. Ma chi lo sa?
Il 02/02/2011 12:00, Yuri ha scritto:
Il 02/02/2011 11:12, Luca Fabbri ha scritto:
2011/2/2 Maurizio Delmonte<maurizio.delmo...@abstract.it>:
non ho ancora visto passare questo in lista:
http://plone.org/products/plone/security/advisories/cve-2011-0720
aime', non capita molto spesso che si venga allarmati in anticipo di
una
patch
di sicurezza per Plone, e penso sia bene essere tutti avvisati.
di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema
che in anni di onorato servizio ha fatto veramente pochissimi di questi
scherzi :)
(si tende a darlo per scontato, ma plone e' un servizio web, piuttosto
esposto a questo
tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo)
saluti
Tra parentesi, uno dei due possibili workaround proposti secondo me
non vale molto in tantissimi casi. Mettere il database in read-only
non significa che un utente non possa andare a vedere contenuti
privati e riservati.
però potrebbe non far funzionare l'exploit, che probabilmente ha
bisogno di scrivere. cookie -> scrivo -> utilizzo quello che ho
scritto per accedere al pannello di controllo e altri due punti.
_______________________________________________
Plone-IT mailing list
Plone-IT@lists.plone.org
https://lists.plone.org/mailman/listinfo/plone-it
http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
_______________________________________________
Plone-IT mailing list
Plone-IT@lists.plone.org
https://lists.plone.org/mailman/listinfo/plone-it
http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
