http://plone.org/products/plone/security/advisories/20121106
qui ci sono tutti i problemi fissati dall'hotfix. Alcuni sono paranoici
nei casi normali (quanti utenti reali non sicuri abbiamo che scrivono
python script?), l'unico degno di nota, mi pare, è questo:
http://plone.org/products/plone/security/advisories/20121106/17
BLOBs stored on custom content types can be accessed through a
non-standard URL, bypassing the declared permission check
Anonymous users can use a crafted URL to illegitimately download Files
and Images. Thanks to Karl Johan Kleist who found that this had been
incorrectly reported, and let the security team know.
===============
Penso quindi che l'unico problema "vero" sia questo. Dal fix mi pare che
il field sia accessibile tramite il suo metodo index_html. Quindi da url
web in qualche modo si arriva al field e da lì il metodo permette di
scaricare il file, indipendentemente dai permessi.
Concordate?
_______________________________________________
Plone-IT mailing list
[email protected]
https://lists.plone.org/mailman/listinfo/plone-plone-it
http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
