Autore Topic: Possibile bug ACL accedendo ai moduli dalla lista "moduli collegati" dei menu  (Letto 251 volte)

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Ciao
ho riscontrato un problema nel funzionamento delle ACL, provo a descrivere la situazione.
Ho creato un modulo di tipo menu per mostrare il menu principale nel mio sito.
Ho ristretto l'accesso alla modifica del modulo settando l'ACL, ovvero negando il permesso di modifica a tutti i gruppi di utenti tranne che a quello dei superusers.
Se un utente appartenente a uno di questi gruppi non abilitati va, dal pannello di amministrazione, su Estensioni > Moduli vede correttamente la lista dei moduli, con il modulo in questione non modificabile. Fin qui tutto ok.
Se lo stesso utente sempre da pannello di amministrazione va su Menu > Gestione, nell'elenco dei menu alla colonna "Moduli collegati" ha a disposizione un pulsante con label "Moduli".
Cliccandoci compare una tendina che elenca il modulo di visualizzazione del menu, quello che dovrebbe di fatto essere bloccato alla modifica.
L'utente, selezionando dalla tendina il modulo in questione può accedere alla finestra popup "Modifica le impostazioni del modulo" da cui può liberamente procedere alle modifiche e salvare.  :o


Immagino si tratti di un bug, non ho trovato però altri riferimenti simili cercando in giro, qualcuno ha già riscontrato e risolto il problema?
Utilizzo Joomla 3.7.3


Grazie a tutti!!! :)

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 250
    • Mostra profilo
Se lo stesso utente sempre da pannello di amministrazione
----------------------------------------------------------------------------------------
Come fa un utente ad accedere al pannello di amministrazione?

Offline Nicoletta

  • Nuovo arrivato
  • *
  • Post: 3
    • Mostra profilo

"Come fa un utente ad accedere al pannello di amministrazione?"

Nella descrzione della situazione, non lo abbiamo esplicitato: stiamo parlando di utenti che accedono al backend del sito
(senza essere superusers).
« Ultima modifica: 17 Lug 2017, 13:22:41 da Nicoletta »

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 250
    • Mostra profilo
"Come fa un utente ad accedere al pannello di amministrazione?"

Nella descrzione della situazione, non lo abbiamo esplicitato: stiamo parlando di utenti che accedono al backend del sito
(senza essere superusers).

come fanno? che permessi gli avete dato? probabilmente lo sbaglio sta lì

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Il gruppo a cui appartiene l'utente, denominato "generale" e appartenente al gruppo "Redazione", ha i permessi per l'accesso all'interfaccia amministrativa (immagine Configurazione).
La modifica del modulo in questione è stata Negata dall'ACL del modulo stesso (immagine Moduli menu).
Infatti accedendo con l'utente incriminato alla lista dei moduli, il modulo in questione risulta non modificabile (immagine "cosa vede.png"). :)


Tutto perfetto fin qui, le ACL funzionano, ma andando sui menu con lo stesso utente (immagine menu.png) è possibile modificare il modulo.
 :o :o :o


Spero di essere stato chiaro...  :D

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Per completezza aggiungo che nella popup di modifica risultano bloccati, e quindi non modificabili, lo stato e le date di inizio e fine Il resto invece è tutto modificabile e salvabile, e non dovrebbe esserlo.
 :)

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Per sicurezza abbiamo fatto anche un test su un'installazione 3.7.3 pulita e il risultato è stato lo stesso.
Abbiamo creato un utente sul gruppo Publisher, gli abbiamo abilitato l'accesso all'interfaccia amministrativa dei menu, abbiamo verificato che fossero già presenti i permessi globali per la modifica dei moduli e infine abbiamo Negato i permessi per la modifica del singolo modulo menu.
Nonostante ciò, l'utente Publisher ha potuto modificare il modulo selezionandolo dalla tendina dei moduli collegati al menu.


Abbiamo provato a negare i permessi globali di modifica sui moduli e in questo caso la popup che si apre non consente, come ci si aspetta, la modifica anche se riporta in maniera incoerente i pulsanti Salva, Salva e Chiudi in calce alla finestra (allego immagine).


che dite? la sottoponiamo all'issue tracker?  :-\

Offline Ahmed Salvini

  • Appassionato
  • ***
  • Post: 250
    • Mostra profilo
non credo sia un bug, credo non sia mai stato possibile agire su un solo modulo con le acl ma solo globalmente su tutti... se non ricordo male

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Ciao, grazie per l'attenzione  :)
I moduli si possono profilare singolarmente, guarda l'immagine che ho allegato sopra "Moduli menu - Amministrazione.png". Lì si vede come i permessi di modifica sono bloccati per il gruppo "generale".
Il problema è comunque evidenziato dal fatto che lo stesso utente accedendo da "Estensioni > Moduli" non può modificare il modulo menu, mentre se accede da "Menu - Moduli collegati" riesce a modificare.


Offline Nicoletta

  • Nuovo arrivato
  • *
  • Post: 3
    • Mostra profilo
Nessun* di voi ha riscontrato questo bug sui permessi di accesso ai moduli (da interfaccia di backend) o ha qualche dritta in merito ?

Offline stefanoel

  • Nuovo arrivato
  • *
  • Post: 13
  • Sesso: Maschio
    • Mostra profilo
Ciao,
abbiamo inviato una segnalazione al Joomla Issue Tracker

https://issues.joomla.org/tracker/joomla-cms/17188

effettivamente c'è un bug, è stata aperta una PR

https://github.com/joomla/joomla-cms/pull/17838

attendiamo  :)

Offline Nicoletta

  • Nuovo arrivato
  • *
  • Post: 3
    • Mostra profilo
"good catch" 8)

 

Torna su