Category::Plugin

編集権限を持つ人にもファイルを添付できるように

  • ページ: BugTrack
  • 投稿者: Lick?
  • 優先順位: 低
  • 状態: 完了
  • カテゴリー: 本体新機能
  • 投稿日: 2005-07-09 (土) 08:55:05
  • バージョン: 1.4.5_1
  • リリース予定バージョン: 1.4.7

メッセージ

例のXSS脆弱性を受けて、現在添付ファイルはデフォルトで管理者のみが添付できるようになっていますが、これを編集権限を持つ人も添付できるようにはならないでしょうか。


  • こんにちは :) コメントありがとうございます。1.4.6には間に合いませんが、実際に役に立つアイデアだと思います。 -- henoheno 2005-07-10 (日) 20:25:23
  • これって要するにユーザ権限の与え方ですよね。編集制限、閲覧制限、添付制限、リネーム制限、…と個別にしていくなら、統一の権限管理機構があった方が便利かもしれません。…ただし、これって詰めれば詰めるほどCMSに近づいてくるんだよなぁ (^^; -- Ratbeta? 2005-07-11 (月) 15:38:29
    • グループウェアと言う方が近いかもしれません。しかしグループごとの役割権限とか、ワークフローとかまで話が行ってませんから、まだまだ可愛いものです :) 最初の実装はともかく、バラバラに実装する必要が無いと言うのはその通りですね (^^; -- henoheno 2005-07-11 (月) 21:21:49
    • readやeditなどのプラグインごとに一意のidを割り当てて、ユーザがそのidに対応する権限を持っているか確認して、権限を持っていれば処理を実行…とか、そんな感じですかね?設定の方法はまだまだ考慮の余地がありますが…。 -- Ratbeta? 2005-07-11 (月) 21:38:36
    • ふむ、運用体系を定義し(て楽をし)たいと希望する管理者はプラグインだけの制限を希望するでしょうか。ページ名やそのパターン(正規表現)、ホストやそのパターン(ネットワーク判定)、ユーザーエージェント、ユーザー名やグループ名、プラグインやそのオプション、保存する場所や保存方法(例えば履歴管理システムに突っ込む)等、その組み合わせの中からよりすぐった例が実際に作れるかどうかが求められると思います -- henoheno 2005-07-11 (月) 22:54:52
    • プラグインについては、プラグインの実行そのものを許可/禁止するホワイトリスト/ブロックリストを実装する事の延長でどうにかなる気がします。 -- henoheno 2005-07-11 (月) 23:05:01
  • 瞬間的に再検討しました。これは長期的には、ユーザーおよびグループの部分をまとめ直した後の話でしょうね。少なくともグルーピング機構の形態が一般的な物と違う上にスケーラビリティありませんよね? 他の認証基盤との互換性を維持した上で手をつけるようにしないと、コストが下がりません。 -- henoheno 2011-02-03 (木) 23:48:37
  • PukiWiki 1.4.7 より、 plugin/attach.inc.php の PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY を false に設定することでそのページの編集権限を持つ人によるファイル添付が可能です。完了とします -- umorigu 2017-11-07 (火) 00:42:31
    // 管理者だけが添付ファイルをアップロードできるようにする
    define('PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY', FALSE); // FALSE or TRUE


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-11-07 (火) 02:01:01
Site admin: PukiWiki Development Team

PukiWiki 1.5.1+ © 2001-2016 PukiWiki Development Team. Powered by PHP 5.6.33-0+deb8u1. HTML convert time: 0.437 sec.

OSDN