Bug #4514
fermé
Problème de confidentialité dans le workflow
0%
Description
Bonjour,
Nous venons de constater une faille critique de confidentialité liée au Workflow.
Tout utilisateur définit sur le workflow a la possibilité de récupérer le contenu de n'importe laquelle des candidatures postées via le moteur de recherche.
Ceci à été constaté en version 5.8.1 et testé avec les mêmes résultat en version 5.11.2 ( Plateforme sans look spécifique )
Je reste à votre disposition pour de plus amples informations.
Mathis - Support Plateforme - ENE
Fichiers
Mis à jour par Nicolas Eysseric il y a plus de 11 ans
- Statut changé de New à Feedback
Que voulez-vous dire par "possibilité de récupérer le contenu de n'importe laquelle des candidatures postées via le moteur de recherche" ?
Mis à jour par Mathis FIBLEUIL il y a plus de 11 ans
- Fichier workflow issue 4514.pdf workflow issue 4514.pdf ajouté
Veuillez trouver dans l'exemple ci-joint, le step by step relatant le problème de confidentialité.
Vous y trouverez notamment les droits d'accès utilisateurs test.
Je reste à votre disposition pour toutes autres demandes de test, logs ou autre informations.
Mathis - Support Plateforme - ENE
Mis à jour par Mathis FIBLEUIL il y a plus de 11 ans
Bonjour,
Avez-vous quelques pistes concernant la résolution de ce comportement ?
Mathis - Support Plateforme - ENE
Mis à jour par Nicolas Eysseric il y a plus de 11 ans
L'utilisateur MOE 1 [Test] a bien accès à l'application Candidatures de l'espace Validation Candidatures, non ?
Depuis toujours, les données du workflow ne sont pas indexées. Les données saisies à chaque état et qui enrichissent le dossier ne sont pas indexées. Cette restriction est due au fait que les droits sur les dossiers du workflow varient d'un état à un autre.
Par contre, il apparaît clairement que les fichiers ajoutés sont indexés à tort.
Ils remontent ainsi dans le moteur de recherche à partir du moment que l'utilisateur a accès au workflow.
Pour contourner ce problème, vous pouvez utiliser le paramètre général ComponentsExcludedFromGlobalSearch du fichier org/silverpeas/pdcPeas/settings/pdcPeasSettings.properties afin d'exclure cette application de la recherche globale.
Mis à jour par Mathis FIBLEUIL il y a plus de 11 ans
- Statut changé de Feedback à Closed
En utilisant l'option ComponentsExcludedFromGlobalSearch du fichier org/silverpeas/pdcPeas/settings/pdcPeasSettings.properties, et en le faisant pointer sur le bon componentId, la recherche ne remonte plus les informations confidentielles du workflow.
Cependant, cela reste possible à partir de la version 5.11 de Silverpeas.
Pénalisant, donc, dans le cas où l'on utilise une version antérieure comme la 5.8.1.
Merci.
Je clôture la demande.