Gros problème de sécurité avec la GED.
Lorsqu’un utilisateur n’a pas les droits pour voir un TIERS, il peut quand même accéder à tous les PDF des TIERS qui lui sont interdits par la GED.
Exemple:
L’utilisateur TOTO peut voir les factures de certains fournisseurs mais pas tous.
Il peut voir les factures des fournisseurs auquel il est lié.
Admettons qu’il n’ai pas accès au Tiers DURAND.
Et bien via la GED, il peut lister tous les PDF et consulter les fichiers générés pour le Tiers DURAND…
Car depuis la liste des fichier dans la GED, s’il clique sur un fichier d’une facture d’un fournisseur auquel il n’est pas lié, il va arriver sur dolibarr/fourn/facture/document.php?facid=XXXX et ensuite il n’a qu’a ouvrir le PDF…
C’est pas terrible…
Bonjour,
En effet, les droits sur la GED sont extrèmement limité : on a le droit ou on l’a pas. On ne peut pas filtrer ce que les utilisateurs peuvent voir dans la GED.
C’est une limitation connue.
La seule solution pour vous, c’est d’autoriser la GED uniquement aux personnes qui ont le droit de tout voir. Sinon, il vous faudra vous passer de ce module en l’état et trouver d’autres moyens.
Vous n’êtes pas le seul dans ce cas de figure.
Je comprends bien d’un point de vue technique votre réponse mais elle m’ahurit…
Cela veut dire qu’il faut interdire aux utilisateurs la possibilité de joindre des fichiers pour garantir la sécurité et la discrétion du système…
Mais à quoi bon mettre un onglet « fichiers joints » dans pratiquement toutes les pages de Dolibarr pour ne pas l’autoriser compte tenu du risque de sécurité?
En effet, sauf erreur de ma part, si on accorde les permissions à un utilisateur « soumettre ou supprimer des documents », il a automatiquement l’accès au travers de la GED à TOUS les documents (factures, commandes, salaires, virements…)
Je trouvais Dolibarr parfait pour une utilisation dans une PME avec plusieurs salariés mais maintenant je me rends compte qu’il n’est absolument pas adapté et pas du tout sécurisé…
J’aimerai bien savoir ce qu’en pensent les gérants de PME qui utilisent Dolibarr avec plusieurs salariés quand ils se rendront compte que de permettre à un collaborateur de joindre des fichiers dans le système lui donne accès à tous les fichiers joints et générés ?
Qu’en pensent également ceux qui ont des instances hébergées payantes avec plusieurs utilisateurs dont certains ont les droits de « soumettre ou supprimer » des documents"?
Connaissent-ils le problème ou bien certains développeurs l’ont résolu?
Dans l’attente des commentaires de ceux qui liront ce message.
On peut très bien autoriser à soumettre des documents… mais en dehors du module GED si la confidentialité est un souci - et je vous comprends.
On peut joindre des documents à un tiers, à tous les documents créés… Le problème c’est juste sur le module GED qui ne gère pas les droits en fonction du reste pour l’instant - mais techniquement, ce n’est pas si simple à résoudre.
Si on doit gérer un stockage de documents pour un tiers donné, alors les droits de voir tel ou tel tiers suffiront amplement à résoudre le problème. Il faut alors utiliser les onglets « fichiers joints » des documents, des tiers… Mais donc pas la GED.
Quitte à avoir un tiers « interne » pour les docs. qui ne sont pas liés à un tiers mais partagés entre tous.
Je suis d’accord sur le fait que c’est une sacrée limitation, mais quand on le sait, on trouve assez facilement comment contourner le problème du module GED / pas de module GED.
Le fait est qu’en général, ce module est déconseillé dans les PME à cause de cette limitation des droits.
En cherchant des renseignements sur les fonctionnalités de la GED dans Dolibarr je suis tombé sur votre post et malgré son ancienneté je vous soumets une réponse d’une TPE de quelques salariés.
Nous utilisons le module depuis 2020 seulement donc les mises à jours ont sans doute réglées ce problème de sécurité par la fonction de ne pas afficher l’arborescence GED automatique.
Ce que nous faisons par défaut depuis le début car notre utilisation de la GED ajoute une fonctionnalité de dématérialisation géré par certains utilisateurs sans notion de droit d’accès aux documents. (Un peu comme les fichiers joints dans le module bancaire ne sont accessible que par les membres autorisés à ce module).
En espérant ce commentaire utile.
PS : Nous recherchons un module ajoutant la fonction de recherche dans la GED. Un filtre tout du moins.
Salut,
avec la version 17.0.01 le problème de sécurité existe toujours : l’utilisateur qui ne peut voir que les tiers dont il est le vendeur, dans la gestion des documents peut voir tous les documents de tous les tiers
