View Issue Details
| ID | Project | Category | View Status | Date Submitted | Last Update |
|---|---|---|---|---|---|
| 0001467 | UkrBIN (ukrbin.com) | General | public | 2018-10-11 22:25 | 2019-04-08 05:48 |
| Reporter | Mikhail_Rusin | Assigned To | barry | ||
| Priority | immediate | Severity | crash | Reproducibility | always |
| Status | closed | Resolution | fixed | ||
| Summary | 0001467: Дыра в защите Коллекций | ||||
| Description | На данный момент любой пользователь способен просматривать любые коллекции, даже те, которые отмечены как "Do not publish". И не только просматривать, но и полностью очищать содержимое!!! Для этого, надо в строке браузера ввести http://ukrbin.com/collection.php?storeid=xxx , где ххх - это номер проекта. Перебирая номера можно просмотреть любую коллекцию любого пользователя. И во всех коллекциях есть опция "Clear List". При нажатии на неё можно одним легким движением руки очистить ВЕСЬ список. Этот баг нужно срочно залатать! Он ставит под угрозу: а) коллекции на укрбине; б) нарушает конфиденциальность скрытых коллекций (а это одна из форм нашей рекламы). | ||||
| Tags | No tags attached. | ||||
|
|
Если коллекция неопубликована, то при таком просматривании (как я описал в предыдущем посте), самих точек не видно, но возможность очистить список имеется. |
|
|
Upd: Помимо clear list есть и другие способы "навести порядок" в чужой коллекции. 1. Возле каждой записи есть сбоку кнопки edit и delete. Обе активные. Последняя удаляет выбранную строку (значит опять дыра). А вот edit открывает окно для редактирования, но при попытке внести правки и сохранить система сообщает об ошибке (значит ок). 2. Но править чужие записи можно. Для этого использовать функцию группового редактирования. вот сообщение об ошибке при попытке влоб редактировать записи MySQL error: Cannot add or update a child row: a foreign key constraint fails (`iznkyiv`.`c_coll_species`, CONSTRAINT `c_coll_species_ibfk_5` FOREIGN KEY (`STOREID`) REFERENCES `c_store` (`ID`) ON UPDATE CASCADE) show sql text » 1: UPDATE c_coll_species SET STOREID=0, QUANT=1, NBR='18861', CLASSID=8572, LOCATION='Poltava', 2: DATE_TIME='28.05.1922', DESCRIPTION='11', LEG='Lukjanovitsh Th.', DET='', EDUSERID=922, EDDATETIME=1539380565, 3: GEO1ID=182,GEO2ID=4931,GEO3ID=6103,MALES=0,FEMALES=0,NYMPHS=0,SP_TYPE='', 4: METHOD='', ECOLOGY='', LATITUDE=49.602083, LONGITUDE=34.595695,HOSTID=NULL, 5: ELEVATIONM=0, 6: MUSEUM='ZIN' 7: WHERE ID=571692 |
|
|
+ Clear list Насчет отдельных записей если есть проблема - в отдельную задачу (upd где). |
| Date Modified | Username | Field | Change |
|---|---|---|---|
| 2018-10-11 22:25 | Mikhail_Rusin | New Issue | |
| 2018-10-11 22:30 | Mikhail_Rusin | Note Added: 0003908 | |
| 2018-10-12 01:30 | Nikolai Yunakov | Priority | urgent => immediate |
| 2018-10-13 00:41 | Mikhail_Rusin | Note Added: 0003909 | |
| 2018-10-13 00:43 | Mikhail_Rusin | Note Edited: 0003909 | View Revisions |
| 2018-12-06 10:23 | barry | Assigned To | => barry |
| 2018-12-06 10:23 | barry | Status | new => resolved |
| 2018-12-06 10:23 | barry | Resolution | open => fixed |
| 2018-12-06 10:23 | barry | Note Added: 0003959 | |
| 2019-04-08 05:48 | Nikolai Yunakov | Status | resolved => closed |
