#author("2017-11-07T00:44:11+09:00","","") #author("2017-11-07T02:00:59+09:00","","") RIGHT:&size(12){Category:[[:Plugin]]}; *編集権限を持つ人にもファイルを添付できるように [#i5478988] -ページ: [[BugTrack]] -投稿者: [[Lick]] -優先順位: 低 -状態: 完了 -カテゴリー: 本体新機能 -投稿日: 2005-07-09 (土) 08:55:05 -バージョン: 1.4.5_1 -リリース予定バージョン: 1.4.7 **メッセージ [#wa8078aa] 例のXSS脆弱性を受けて、現在添付ファイルはデフォルトで管理者のみが添付できるようになっていますが、これを編集権限を持つ人も添付できるようにはならないでしょうか。 ---- -こんにちは :) コメントありがとうございます。1.4.6には間に合いませんが、実際に役に立つアイデアだと思います。 -- [[henoheno]] &new{2005-07-10 (日) 20:25:23}; -これって要するにユーザ権限の与え方ですよね。編集制限、閲覧制限、添付制限、リネーム制限、…と個別にしていくなら、統一の権限管理機構があった方が便利かもしれません。…ただし、これって詰めれば詰めるほどCMSに近づいてくるんだよなぁ (^^; -- [[Ratbeta]] &new{2005-07-11 (月) 15:38:29}; -- グループウェアと言う方が近いかもしれません。しかしグループごとの役割権限とか、ワークフローとかまで話が行ってませんから、まだまだ可愛いものです :) 最初の実装はともかく、バラバラに実装する必要が無いと言うのはその通りですね (^^; -- [[henoheno]] &new{2005-07-11 (月) 21:21:49}; --readやeditなどのプラグインごとに一意のidを割り当てて、ユーザがそのidに対応する権限を持っているか確認して、権限を持っていれば処理を実行…とか、そんな感じですかね?設定の方法はまだまだ考慮の余地がありますが…。 -- [[Ratbeta]] &new{2005-07-11 (月) 21:38:36}; -- ふむ、運用体系を定義し(て楽をし)たいと希望する管理者はプラグインだけの制限を希望するでしょうか。ページ名やそのパターン(正規表現)、ホストやそのパターン(ネットワーク判定)、ユーザーエージェント、ユーザー名やグループ名、プラグインやそのオプション、保存する場所や保存方法(例えば履歴管理システムに突っ込む)等、その組み合わせの中からよりすぐった例が実際に作れるかどうかが求められると思います -- [[henoheno]] &new{2005-07-11 (月) 22:54:52}; -- プラグインについては、プラグインの実行そのものを許可/禁止するホワイトリスト/ブロックリストを実装する事の延長でどうにかなる気がします。 -- [[henoheno]] &new{2005-07-11 (月) 23:05:01}; - 瞬間的に再検討しました。これは長期的には、ユーザーおよびグループの部分をまとめ直した後の話でしょうね。少なくともグルーピング機構の形態が一般的な物と違う上にスケーラビリティありませんよね? 他の認証基盤との互換性を維持した上で手をつけるようにしないと、コストが下がりません。 -- [[henoheno]] &new{2011-02-03 (木) 23:48:37}; - PukiWiki 1.4.7 の時点で、 plugin/attach.inc.php の PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY を false に設定することでそのページの編集権限を持つ人によるファイル添付が可能です。完了とします -- [[umorigu]] &new{2017-11-07 (火) 00:42:31}; - PukiWiki 1.4.7 より、 plugin/attach.inc.php の PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY を false に設定することでそのページの編集権限を持つ人によるファイル添付が可能です。完了とします -- [[umorigu]] &new{2017-11-07 (火) 00:42:31}; // 管理者だけが添付ファイルをアップロードできるようにする define('PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY', FALSE); // FALSE or TRUE #comment