Je vois qu'il y a un test sur une constante non définie par défaut (ACCES_RESTREINT_FORCE_AUTORISE).

Si elle n'est pas définie, toutes les urls qui contiennent le hash du document sont ok, donc il suffit de copier coller un lien vers un doc depuis un espace restreint pour qu'il soit accessible par un visiteur non connecté, ce qui est justement ce qu'on ne veut pas.

Même en la définissant, les documents remontent quand même pour un visiteur non connecté.

Il y a une requête assez complexe lancée ici :
https://git.spip.net/spip-contrib-extensions/acces_restreint/src/tag/v4.0.0/inc/accesrestreint_autoriser.php#L269
mais elle remonte toujours un id_document, pour un non connecté, donc ça passe à la suite et ça autorise.


--
nicod_
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à