Re: [Dolibarr-dev] Droits sur les commerciaux

[zcp]

Régis Houssin a écrit :
> Bonjour,
>
> apparement je viens de voir que la vérification du droit de voir ou non
> tous les clients pour un commercial a été supprimé sur certain fichier.
>
> ce qui pose un problème de sécurité car j'avais ajouté cette vérification
> (sur les fiches propales par exemple mais aussi ailleurs) afin qu'un
> commercial ne puissent pas accéder au propales ou autres des autres
> commerciaux.
>
> par exemple si on a ceci dans l'explorateur :
>
> http://localhost/dolibarr/comm/propal.php?propalid=9
>
> et qu'un commercial "un peu futé" change le numéro de la variable
> "propalid" dans la ligne il aura tout de même accès à la propale d'une
> société dont il ne devrait pas avoir accès.
> [...]
> vous êtes d'accord avec moi ? :)
>
> Régis

Bonjour

Dans le sens de la limitation, oui, c'est ce que Franky avait fait et que 
j'avais testé, en passant par les URL (comme tu présente ici).

Si un commercial peut voir les autres propales, autant ajouter un droit 
supplémentaire : Voir toutes les propales.
Ça demande plus de travail, donc, peut-être que ça peut attendre la prochaine 
version.

A bientôt
Grégoire