Reader kann Objekte ändern und verschieben, zu viel Zugriffsrechte



  • i-doit 0.9.9-8

    Hallo!

    Ich habe für einen Mitarbeiter den Account "Guest" aktiviert und ihm die Rolle als Reader zugeordnet. Beim Testen konnte ich folgende Vorgänge als Guest ausführen:

    Umbenennen eines Objekts (das konnte ich direkt nach der Anmeldung, ich habe ein Objekt ausgewählt und konnte dann über den Reiter ALLGEMEIN alle Daten ändern. Ein zweites Mal in der gleichen Session ist das wohl nicht möglich)
    Verschieben der Objekte in andere Kategorien
    Zuordnen eines Objektbildes
    Ändern der Buchhaltungsdaten

    Der Gast (also Reader) soll aber nichts ändern dürfen!

    Vielen Dank!

    kennerblick



  • Guck mal unter der Personengruppe Reader was da an Rechten vergeben wurde.
    Aber ich glaube du meinst eigentlich folgenden Bug:
    Leere Datenfelder kann man mit Readerrechten füllen.



  • Hallo oda,

    Reader haben folgende Rechte

    Reader CMDB Löschen
    Reader Logbuch Löschen
    Reader Systemregistrierungseditor Löschen
    Reader Benutzereinstellungen Löschen
    Reader Reports Löschen
    Archivar Reports Löschen
    Reader Modulmanager Löschen
    Archivar Request Tracker (TTS) Löschen
    Reader Templates Löschen

    Ist also nichts geändert.

    Problematisch ist, dass Mitglieder der Readergruppe Standardinfos inkl. Objektbezeichnung ändern können. Auch das Verschieben der Objekte innerhalb der Kategorien ist möglich.

    Der Benutzer ist  nur in der Gruppe Reader.

    Grüße


 


Datenschutz / Privacy Policy