PessoALL,

Estive pensando a respeito de um detalhe sobre o modelo de acesso a templates/macros implementados pelo Zope, ao menos, interessante.
O lance é que se há um template que possui uma (ou mais) macro(s) e foi criado exclusivamente p/ isso (ou seja, ñ possui outro conteúdo senão o da/das macro/macros), ele pode ser acessado diretamente por quem conhecer seu id, via url (pela barra de endereços do browser ou links - internos ou mesmo externos ao site). Daí, como ele ñ tem outras informações (geralmente, nem mesmo um css ou até mesmo um head), ele aparece e c/ formatação apenas HTML e, no caso do Plone, sem identificação alguma do site (exceto p/ o main_template, claro, mas que mostra o leiaute do site sem conteúdo algum).
Podemos ver melhor esse efeito nuns testes que fiz em alguns dos sites que sei que são zope/plone mas vamos usar o plone.org de exemplo. Exceto os portlets que usam alguma variável do global_defines, todos aparecem (os que usam vars. do global_defines tb mas dão erro), por exemplo:
http://plone.org/portlet_calendar
http://plone.org/portlet_news
http://plone.org/main_template
http://plone.org/portlet_navigation (dá erro)
http://plone.org/portlet_login (dá erro)
Feio, né? E isso tb pode acontecer c/ templates definidos pelo desenvolvedor.
Daí, o que quero discutir é: como poderia ser possível barrar esse acesso direto? Se retirarmos a permissão de view, a macro tb não pode ser chamada.
Tá, pensando no caso de não ser possível, uma solução meio tôsca, mas pelo menos p/ resolver o caso de ñ ter a identificação visual do site, p/ o Plone, é chamar a macro master do main_template p/ cada template c/ macro(s) definida(s) e definir essa(s) macro(s) dentro de um fill-slot="main" ... Brrrrrrr! ... Mas, pelo menos, aparece a moldura do site, né? ...
Bom, dependendo do caso, ñ chega a ser uma falha de segurança. Pode haver um problema de segurança se as devidas verificações só tiverem sido feitas na(s) chamada(s) da(s) macro(s), deixando esta(s) sem esse controle e sujeita(s) a esse acesso direto. Entretanto, - não sei se alguém um dia já se preocupou c/ isso mas - é, no mínimo, um efeito indesejado, pelo menos p/ a maioria dos sites, né não?
[ ],
--
JJ (|´:¬{)»
---------------------------------------------
"Eu sou a ressurreição e a vida. Quem crê em mim, ainda que morra, viverá; e todo o que vive e crê em mim não morrerá, eternamente. Crês isto?"
O Senhor, Jesus Cristo - Jo.11:25-26
---------------------------------------------

Para enviar uma mensagem: zope-pt@yahoogrupos.com.br
Para desistir envie uma mensagem em branco para: [EMAIL PROTECTED]



Yahoo! Grupos, um serviço oferecido por:
PUBLICIDADE


Links do Yahoo! Grupos

Responder a