AI OnAI Off

Permission Report säkerhetshål

Vote:
 
Vi har installerat Permission Report enligt anvisningarna i katalogen Extensions. Det medförde att funktionen blev tillgänglig utan att man behövde vara inloggad som administratör genom att surfa till adressen för Permission Report. Nu har vi satt admin-rättigheter på katalogen, men någon kanske har hittat någon bättre lösning. Har Meridium tänkt fel eller har vi något fel i vår installation?
#11203
Nov 11, 2004 16:03
Klas Andreasson
Klas Andreasson
Vote:
 
Meningen är att man skall sätta rättigheter med hjälp av location på katalogen Extensions/PermissionReport i web.config. Tyvärr har detta fallit bort i dokumentationen, men detta är åtgärdat i version 1.0.2. Att säga att detta är ett säkerhetshål beror på hur man ser på saken... En användare som inte är inloggad som administratör kan endast titta på rättigheter. För att kunna göra ändringar krävs administratörsrättigheter i EPiServer. // Jakob, Meridium AB
#11541
Feb 02, 2005 14:00
* You are NOT allowed to include any hyperlinks in the post because your account hasn't associated to your company. User profile should be updated.