1b.app
Скопирована ссылка -

Сотрудник видит данные, которые запрещены правами

в карточке сотрудника стоит галка - https://prnt.sc/up6uf6 , есть заказанные продукты - /admin/shop/products/ordered/01&dateto=&datelastfrom=&datelastto=&filterclientid=&sorttype=---&filterid=&filterarticul=&filtercode1c=&filterbarcode=&filtermodel=&filtergroupped=&filtername=&filterpricefrom=&filterpriceto=&filtertags=&filterbrands=&categoryid=&searchLine=

1. в этом отчете сотрудник видит маржу - https://prnt.sc/up6y71 не смотря на то, что это запрещено правами

2. в правах доступа в карточке и для роли выключена эта настройка - https://prnt.sc/up6zq6 https://prnt.sc/up708q , но экспорт на странице заказанных продуктов можно сделать без проблем - https://prnt.sc/up711h

3. этот отчет нельзя закрыть для сотрудника, в правах доступа я только могу скрыть этот пункт здесь - https://prnt.sc/up7zha , но здесь он все-равно будет доступен - http://joxi.ru/DrlzyDeTyd5yL2

в задаче 2015644259 было сказано, что в этом отчете не подвязаны acl, и получается, что сотрудник может видеть и скачивать те данные, которые ему видеть нельзя

просьба взять на улучшение и сделать следующее:
привязать маржу и экспорт к ACL и/или сделать чтобы не показывало вообще этот отчет в списке конкретному юзеру

Ответы:

Марина если ты уже получила ответ на свои вопросы - то какая цель постановки его сюда на форум ?
01.10.2020, 22:38

Цель - чтобы это сделали взяли на улучшение и сделали доработку для клиентов бесплатно.

Так как сейчас это работает не логично - один функционал противоречит другому. Какой смысл тогда настраивать права доступа, если их можно с легкостью обойти, просто перейдя на другую страницу и эту страницу даже нельзя закрыть для сотрудника? Т.е. вот здесь я тебе запрещаю видеть маржу, но если сильно интересно, то можешь зайти вот сюда ,все посмотреть и даже скачать.
02.10.2020, 09:45


Мулач Марина Анатольевна
Сотрудник писал/а:
Цель - чтобы это сделали взяли на улучшение и сделали доработку для клиентов бесплатно.Так как сейчас это работает не логично - один функционал противоречит другому. Какой смысл тогда настраивать права доступа, если их можно с легкостью обойти, просто перейдя на другую страницу и эту страницу даже нельзя закрыть для сотрудника? Т.е. вот здесь я тебе запрещаю видеть маржу, но если сильно интересно, то можешь зайти вот сюда ,все посмотреть и даже скачать.

Проблема в том что это не мы такие "Плохие" что сделали в одном месте проверку прав, а некоторые твои коллеги которые ставят на оценку задачу говорят "Мне нужна проверка только вот тут и все, оцените только в этом месте" - а потом вылазят вот такие ситуации , потому что кто-то когда-то сэкономил.

В любом случае для такой инвестиции не стоит ставить вопрос на форуме
02.10.2020, 09:50

Пожалуйста, присоединяйтесь к диалогу. Если вам есть что сказать - пожалуйста, напишите комментарий. Для входа потребуется мобильный телефон и смс-код для идентификации. Войти и написать комментарий