[Plone-IT] hotfix

Yuri yurj a alfa.it
Mer 7 Nov 2012 10:27:02 UTC


http://plone.org/products/plone/security/advisories/20121106

qui ci sono tutti i problemi fissati dall'hotfix. Alcuni sono paranoici 
nei casi normali (quanti utenti reali non sicuri abbiamo che scrivono 
python script?), l'unico degno di nota, mi pare,  questo:

http://plone.org/products/plone/security/advisories/20121106/17

BLOBs stored on custom content types can be accessed through a 
non-standard URL, bypassing the declared permission check

Anonymous users can use a crafted URL to illegitimately download Files 
and Images.  Thanks to Karl Johan Kleist who found that this had been 
incorrectly reported, and let the security team know.

===============

Penso quindi che l'unico problema "vero" sia questo. Dal fix mi pare che 
il field sia accessibile tramite il suo metodo index_html. Quindi da url 
web in qualche modo si arriva al field e da l il metodo permette di 
scaricare il file, indipendentemente dai permessi.

Concordate?



Maggiori informazioni sulla lista Plone-IT