Message d'avertissement

The subscription service is currently unavailable. Please try again later.

[résolu] Droits pour "Anonyme" : gaffe à la boulette !

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Je viens d'avoir un petit problème de sécurité sur mon site Drupal.

En fait, il s'agit plutôt d'une manip hasardeuse de l'administrateur, manip qui paraissait pourtant tout à fait anodine: mettre "Anonyme" (ou le terme choisi pour désigner les visiteurs anonymes sur le site) dans le champ auteur d'une page.

Ce nom d'auteur n'a pas été rejeté par Drupal, alors qu'évidemment aucun compte de ce nom n'existait.

Résultat : la page concernée se trouvait modifiable en ligne par n'importe qui, sans identification!!!

En effet, les réglages du site nécessitaient de laisser à tout auteur le droit de modifier sa page. Du coup, un visiteur anonyme sans identifiant ni rien passait pourtant pour l'auteur de cette page et pouvait faire ce qu'il voulait dessus.
Bonjour le spam!

Si ça peut vous servir...

.

PS : il me semble que ce fonctionnement de Drupal n'est pas normal --> si on tape n'importe quoi comme auteur, sans que cela corresponde à un compte, Drupal refuse normalement de faire la modification.

Version de Drupal : 

Anonyme "est" un compte Drupal. La seule chose est qu'il n'est pas modifiable par l'administrateur. Si dans la base tu fais un select * from users where uid=0 (0 étant l'ID des utilisateurs anonymes), tu verras qu'il y a bien un enregistrement.

EDIT: Ceci étant dit, sur mon installation drupal, il faut que je mettre un champ auteur à vide pour rendre l'auteur anonyme. Taper "Anonyme" ne fonctionne pas. De plus, même avec un auteur anonyme, il faudrait théoriquement que le rôle anonyme ait le droit "Edit own XXX content" (ou XXX est le type de contenu en question). Ce qui n'est évidement pas le cas par défaut. Enfin, même avec ce droit activé, je n'ai pas réussi à éditer le contenu.

Maintenant cela ne veut pas dire que ça ne se passe pas ainsi sur ton installation, j'ai déjà eu des noeuds anonymes éditables chez un client utilisant le module nodeaccess d'Organic Group. Mais sur une installation "fraiche" de drupal, je n'ai pas réussi à reproduire le bug.

Merci de tes précisions Yoran.
Oui, la seule chose qu'on puisse faire, c'est changer le nom du compte anonyme via la page de configuration "Informations".
Ce qui est bizarre, c'est que ce compte n'est pourtant pas reconnu dans les views en exposant le champ auteur par exemple, ce qui me laissait penser qu'il n'existait pas en tant que tel.

Question gestion des droits d'accès sur les contenus, j'ai utilisé le module Workflow. Ceci explique sans doute cela, surtout que j'ai défini dans chacun des workflows un droit de modification systématique à l'auteur du contenu! Ainsi, même si un contenu est soumis à relecture pour un rôle que l'auteur ne possède pas, il peut néanmoins continuer à travailler dessus.
C'est je pense là qu'il y a un comportement à connaître et donc à éviter si ce n'est pas l'effet recherché.

Pour ma part, je me contenterai de ne pas mettre "Anonyme" en auteur.

Précision : je n'arrive d'ailleurs plus à mettre l'utilisateur anonyme en auteur, il me dit "Le nom d'utilisateur n'existe pas."

C'est donc que j'ai depuis changé quelque chose qui l'interdit. Difficile de savoir quoi : cette manip date de plusieurs mois et il y en a eu des changements et des mises à jour depuis.