• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Блокировка документа

A

Akupaka

Medevic сказал(а):
Как он его откроет на редактирование, если у него прав нет на создание? Точнее он откроет, но сохранить не сможет. Опять серверный агент нужен. А как его вызвать, если документ не сохранен? :)

А скорее всего он его даже на редактирование не откроет. :)
Нажмите, чтобы раскрыть...

я вот как для тебя писал :)

документ создается агентом! на сервере! агент дает доступ к доку по роли! после этого, пользователь ручками открывает этот документ на редактирование :)

естественно, что пользователь должен иметь уровень автор, и роль, о которой выше было сказано, чтобы изменить документ...

проблема в том, что если много пользователей эту операцию проведут, то каждый конкретный пользователь может не угадать который документ его :)
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
Akupaka сказал(а):
я вот как для тебя писал smile.gif
документ создается агентом! на сервере! агент дает доступ к доку на основании роли! после этого, пользователь ручками открывает этот документ на редактирование smile.gif
Нажмите, чтобы раскрыть...
Так нет у него прав на создание(т.е. в ACL он Reader или No Access). Какая разница какую ему роль дать?
 
A

Akupaka

да и работа локально зарезана на корне ))
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
В смысле доступ в ACL перекрывает доступ по полям Authors.
 
A

Akupaka

создание документа - дело агента, который работает на сервере, от имени того, кто имеет право на создание доков, че тут не ясно-то? :)

через веб подобные вещи проще реализовать, там имя юзера можно отловить...

вот, если кто знает, как дернуть по урлу агент от имени нотес-аутентификации!... :)
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
Akupaka сказал(а):
естественно, что пользователь должен иметь уровень автор, и роль, о которой выше было сказано, чтобы изменить документ...
Нажмите, чтобы раскрыть...
Ну так вся проблема в том, что нет уровня автора. :)
Akupaka сказал(а):
да и работа локально зарезана на корне ))
Нажмите, чтобы раскрыть...
А локально ничего не даст. Чтобы вызвать агента на сервере, ему нужно пихнуть noteid документа. Локальный документ ему не пихнешь. :)

По-моему, всё это извращение. Можно сразу по-нормальному сделать. Дать ему автора. А контроль созданных документов можно сделать агентом.
 
A

Akupaka

можно конечно :)
но почему-то всем хочется с самого начала через задний проход...
 
Kizarek86

Kizarek86

Green Team
20.07.2007
871
7
BIT
40
Агент сам генерит документ...пользователю потом нет необходимости его редактировать.

Агент подписан тем кто имеет право на создание доков, но если пользователь не имеющий таковых прав запускает его, то агент ругает все равно на недостаточность прав.
 
M

Medevic

Что это ? :)
Green Team
10.12.2004
3 334
1
BIT
4
kizarek сказал(а):
Агент подписан тем кто имеет право на создание доков, но если пользователь не имеющий таковых прав запускает его, то агент ругает все равно на недостаточность прав.
Нажмите, чтобы раскрыть...
Агент серверным должен быть.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ