Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi

SUJET : GROS Problème de sécurité GED

GROS Problème de sécurité GED il y a 5 mois 3 jours #96639

  • METEO
  • Portrait de METEO
  • Hors ligne
  • Expert Boarder
  • Messages : 155
  • Remerciements reçus 4
  • Karma: 1
Bonjour,

Gros problème de sécurité avec la GED. :ohmy:
Lorsqu'un utilisateur n'a pas les droits pour voir un TIERS, il peut quand même accéder à tous les PDF des TIERS qui lui sont interdits par la GED.

Exemple:
L'utilisateur TOTO peut voir les factures de certains fournisseurs mais pas tous.
Il peut voir les factures des fournisseurs auquel il est lié.
Admettons qu'il n'ai pas accès au Tiers DURAND.
Et bien via la GED, il peut lister tous les PDF et consulter les fichiers générés pour le Tiers DURAND.....
Car depuis la liste des fichier dans la GED, s'il clique sur un fichier d'une facture d'un fournisseur auquel il n'est pas lié, il va arriver sur dolibarr/fourn/facture/document.php?facid=XXXX et ensuite il n'a qu'a ouvrir le PDF....
C'est pas terrible...... :blink: :S

Merci de vos retours

Dolibarr V6.0.4
L'administrateur a désactivé l'accès en écriture pour le public.

GROS Problème de sécurité GED il y a 5 mois 8 heures #96763

  • agnes
  • Portrait de agnes
  • Hors ligne
  • Gold Boarder
  • Messages : 278
  • Remerciements reçus 33
  • Karma: 8
Bonjour,
En effet, les droits sur la GED sont extrèmement limité : on a le droit ou on l'a pas. On ne peut pas filtrer ce que les utilisateurs peuvent voir dans la GED.
C'est une limitation connue.
La seule solution pour vous, c'est d'autoriser la GED uniquement aux personnes qui ont le droit de tout voir. Sinon, il vous faudra vous passer de ce module en l'état et trouver d'autres moyens.
Vous n'êtes pas le seul dans ce cas de figure.
L'administrateur a désactivé l'accès en écriture pour le public.

GROS Problème de sécurité GED il y a 5 mois 5 heures #96776

  • METEO
  • Portrait de METEO
  • Hors ligne
  • Expert Boarder
  • Messages : 155
  • Remerciements reçus 4
  • Karma: 1
Bonsoir Agnes

Je comprends bien d'un point de vue technique votre réponse mais elle m'ahurit.... :dry:

Cela veut dire qu'il faut interdire aux utilisateurs la possibilité de joindre des fichiers pour garantir la sécurité et la discrétion du système...
Mais à quoi bon mettre un onglet "fichiers joints" dans pratiquement toutes les pages de Dolibarr pour ne pas l'autoriser compte tenu du risque de sécurité?
En effet, sauf erreur de ma part, si on accorde les permissions à un utilisateur "soumettre ou supprimer des documents", il a automatiquement l'accès au travers de la GED à TOUS les documents (factures, commandes, salaires, virements...)

Je trouvais Dolibarr parfait pour une utilisation dans une PME avec plusieurs salariés mais maintenant je me rends compte qu'il n'est absolument pas adapté et pas du tout sécurisé... :sick:

J'aimerai bien savoir ce qu'en pensent les gérants de PME qui utilisent Dolibarr avec plusieurs salariés quand ils se rendront compte que de permettre à un collaborateur de joindre des fichiers dans le système lui donne accès à tous les fichiers joints et générés ?
Qu'en pensent également ceux qui ont des instances hébergées payantes avec plusieurs utilisateurs dont certains ont les droits de "soumettre ou supprimer" des documents"?
Connaissent-ils le problème ou bien certains développeurs l'ont résolu?

Dans l'attente des commentaires de ceux qui liront ce message.

Bien cordialement.
L'administrateur a désactivé l'accès en écriture pour le public.

GROS Problème de sécurité GED il y a 5 mois 4 heures #96782

  • agnes
  • Portrait de agnes
  • Hors ligne
  • Gold Boarder
  • Messages : 278
  • Remerciements reçus 33
  • Karma: 8
On peut très bien autoriser à soumettre des documents... mais en dehors du module GED si la confidentialité est un souci - et je vous comprends.
On peut joindre des documents à un tiers, à tous les documents créés... Le problème c'est juste sur le module GED qui ne gère pas les droits en fonction du reste pour l'instant - mais techniquement, ce n'est pas si simple à résoudre.
Si on doit gérer un stockage de documents pour un tiers donné, alors les droits de voir tel ou tel tiers suffiront amplement à résoudre le problème. Il faut alors utiliser les onglets "fichiers joints" des documents, des tiers... Mais donc pas la GED.
Quitte à avoir un tiers "interne" pour les docs. qui ne sont pas liés à un tiers mais partagés entre tous.
Je suis d'accord sur le fait que c'est une sacrée limitation, mais quand on le sait, on trouve assez facilement comment contourner le problème du module GED / pas de module GED.
Le fait est qu'en général, ce module est déconseillé dans les PME à cause de cette limitation des droits.
Dernière édition: il y a 5 mois 4 heures par agnes.
L'administrateur a désactivé l'accès en écriture pour le public.
Cet utilisateur a été remercié pour son message par: defrance