Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

При изменении некоторых полей пользователя не проверяются права #235

Open
jekhor opened this issue Feb 20, 2018 · 2 comments
Open

При изменении некоторых полей пользователя не проверяются права #235

jekhor opened this issue Feb 20, 2018 · 2 comments
Assignees
@yahor
Labels
Priority: Medium

Comments

@jekhor
Copy link
Member

jekhor commented Feb 20, 2018

В контроллере hackers (app/controllers/hackers_controller.rb) при изменении таких полей, как suspended и banned, не проверяется, есть ли у того, кто меняет, права админа. В форме редактирования эти поля спрятаны, но никто не мешает сформировать запрос вручную.
@k2m30
Copy link
Contributor

k2m30 commented May 12, 2018

нет, эта возможность закрыта через cancan gem, ability.rb

@k2m30 k2m30 closed this as completed May 12, 2018
@jekhor
Copy link
Member Author

jekhor commented Jul 15, 2018

Не закрыта.
Шаги для воспроизведения на локальной копии:

  1. залогиниться под [email protected]
  2. через rails console добавить роль "admin" этому пользователю (для генерации полной формы)
  3. открыть форму редактирования http://localhost:3000/hackers/2/edit
  4. через консоль отобрать роль "admin"
  5. сохранить форму

Сохраняется успешно.

В ability.rb нет управления списком полей, изменение которых запрещено не-админу.

@jekhor jekhor reopened this Jul 15, 2018
@yahor yahor self-assigned this Aug 27, 2018
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@yahor yahor

Labels
Priority: Medium
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@jekhor @yahor @k2m30