29 января 2013 в 20:34
Привет всем.
Обнаружил, что несколько записей на одном из моих сайтов отредактированы (вставлены статьи на английском со ссылками).
Долго не мог понять, как это случилось.
Сейчас обнаружил, что любой анонимный пользователь имеет возможность редактировать некоторые записи созданные в форуме (модель advanced_forum).
На странице разрешений галки для анонимных пользователей, позволяющей редактировать записи, не стоит.
Что делать, как быть? Попробовал обновить модуль advanced_forum обновил, сам друпал тоже обновлен.
Комментарии
Нашел некую закономерность. Для редактирования анонимам доступны записи форума, у которых выбран формат ввода "по умолчанию". Если поменять у записи формат, то ссылка редактирования пропадает.
Пробовал удалить этот формат, ставить умолчательным другой - аналогичная ситуация.
Как побороть проблему?
по умолчанию full html ?
читай http://www.drupal.ru/node/51703
full html тут не при чём.
Не важно, какой формат сделать умолчательным в настройках сайта. хоть фулл, хоть фильтрованный, хоть создать новый и там отключить все теги.
Суть в том, что если запись форума имеет умолчательный формат, то запись может отредактировать кто угодно.
Может это баг такой, и о нём пока никто не знает? Или это только у меня?
уже неважно...
о возможных дырах серв. части даже не говорим.
прощай, не вижу смысла в дальнейшей беседе.
Почему уже неважно? Что не так?
Я ведь говорю, что full html не был умолчательным.
Нашел ещё одну закономерность.
Не только анонимные пользователи могут редактировать записи на форуме, созданные с форматом ввода, который доступен анонимам. Но, и любой другой класс пользователей может редактировать любые записи, созданные с форматом ввода, к которому у них есть доступ.
какие модули стоят влияющие на права?
юзер с uid=0 в базе есть?
Посмотрел в базе, есть пользователь с uid=0
Стоит модель Actions permissions.
Так же стоит Userpoints Role (дающий пользователю определённую роль при наборе баллов) и Better Formats, позволяющий назначить каждой роли свой формат ввода по умолчанию.
Попробуйте удалить Better Formats, проблема остается?
Я пробовал отключать его, эффекта не было. Или надо вообще удалить?
ну попробуйте совсем удалить и потом почистить все кеши.
Какую роль пользователь получает при наборе баллов? У этой роли есть права редактировать материалы?
Право редактирования ВСЕХ материалов есть только у админа.
Некоторые роли могут редактировать СВОИ записи.
По факту же получается, что пользователи одной роли могут редактировать любые записи форума той же роли (т.к. у пользователей получается один формат ввода).
Better Formats удалил. Эффекта нет.
отталкивайтесь от проблемы:
1. раньше все было нормально?
2. когда вы заметили, что записи могут редактировать пользователи обычные?
3. После каких Ваших действий это было возможно?
4. Мне кажется, если права все выставленны,то где-то конфликт произошел с каким-то модулем по правах