BugTrack/657 の履歴ソース(No.9)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• BugTrack/657 へ行く。
  • 1 (2004-08-16 (月) 03:54:39)
  • 2 (2004-08-16 (月) 06:04:45)
  • 3 (2004-09-20 (月) 08:11:41)
  • 4 (2004-09-20 (月) 10:53:25)
  • 5 (2004-12-31 (金) 10:53:50)
  • 6 (2004-12-31 (金) 10:53:50)
  • 7 (2004-12-31 (金) 10:53:50)
  • 8 (2004-12-31 (金) 10:53:50)
  • 9 (2017-09-30 (土) 15:36:59)

#author("2017-10-01T00:36:59+09:00","","")
*閲覧できないページが編集できてしまう [#v9af300d]

-ページ: [[BugTrack]]
-投稿者: [[teanan]]
-優先順位: 重要
-状態: 保留
-カテゴリー: 本体バグ
-投稿日: 2004-08-16 (月) 12:54:39
-バージョン: 1.4.x

**メッセージ [#n56925f9]
閲覧認証が有効なページで「編集認証なし($edit_auth=0)」にしている場合、閲覧認証エラー
「～は閲覧できません」が表示されているときに編集ができてしまいます。
例えば、編集認証の指定が無い場合､閲覧が許可されたページのみを
編集可能とするような対策をしたほうが良いかと思います。
ご検討をお願いいたします。

 auth.php
 [40行目付近]
 // 編集認証
 function edit_auth($page,$auth_flag=TRUE,$exit_flag=TRUE)
 {
 	global $edit_auth,$edit_auth_pages,$_title_cannotedit;
 +	global $read_auth,$read_auth_pages;
 	
 	// 編集認証フラグをチェック
 -	return $edit_auth ?
 -		basic_auth($page,$auth_flag,$exit_flag,$edit_auth_pages,$_title_cannotedit) : TRUE;
 +	if($edit_auth)
 +	{
 +		$retval = basic_auth($page,$auth_flag,$exit_flag,$edit_auth_pages,$_title_cannotedit);
 +	}
 +	else if($read_auth)
 +	{
 +		$retval = basic_auth($page,$auth_flag,$exit_flag,$read_auth_pages,$_title_cannotedit);
 +	}
 +	else
 +	{
 +		$retval = TRUE;
 +	}
 +	return $retval;
 }

----
-普通考えたら、そうなんですが、あえてそういう仕様であり、関数を利用する側で考慮するものだと認識していました。柔軟性を持たせたんだろうとね。作者じゃないので、分かりませんけど。が、適用する場合には、読めるか？を当然判断してから次を判断なのでしょうよ。 --  &new{2004-08-16 (月) 15:04:45};
-編集できる、という以前に閲覧できないページの中身が見える、という点に問題が発生しています。優先順位を一つ上げて"重要"としておきます。関連:[[BugTrack/694]] -- [[Ratbeta]] &new{2004-09-20 (月) 16:12:01};
-直すかどうかとは別問題として、対応当初から、そのような症状が起きることは意識されていたようです。 see [[任意のページごとの閲覧・編集制限>PukiWiki/1.4/ちょっと便利に/任意のページごとの閲覧・編集制限#s838ea07]] -- [[にぶんのに]] &new{2004-09-20 (月) 19:53:25};
-templateの候補に上げない([[BugTrack/598]])だけでは根本的な解決ではなく、「編集」「プレビュー」のようなactionを拒否するようにしないといけないでしょうね。 -- [[henoheno]] &new{2004-12-31 (金) 19:53:50};
- 閲覧制限(認証)をつけて編集制限をつけないというのは基本的に設定ミスだと考えています。（現実的に今PukiWikiを運用していてこういう設定のところは無いでしょう）。その上でポイントとしては以下 -- [[umorigu]] &new{2017-10-01 (日) 00:36:10};
-- (a)「$read_auth = 1 かつ $edit_auth = 0」のときにFail-safeで編集制限をかけるかどうか
--- (read/edit auth「同一設定でいい」場合に、常に2か所編集が必要なのは不便とは思っていました。)
-- (b) $read_auth_pages と $edit_auth_pages に矛盾があるときにFail-safeで編集制限をかけるかどうか
-- (c) そもそも各制限を制御しているのはプラグインなので、これに沿わないプラグインも作れるし、存在する
-- (d) editプラグインぐらいは（目立つので）readableとeditable両方見てもいいかもしれない


#comment