QA #752
未完了
権限無Wiki画面アクセス時のログイン操作変更対策(Redmine3.3)
0%
説明
題名が適切ではないような気がしますが、適切な文言が浮かびませんでした。。。
Redmineは2.6, 3.2, 3.4 と使っています。
3.3も同じかどうかは不明なのですが、3.2までは、公開プロジェクトのWikiに非公開プロジェクトのWikiのリンクをtextileで記述していた場合、
リンクとしては表示されていて、そのリンクをクリックした時点でログイン画面に遷移していたはずです。
Redmine3.4になってからは、textileで記述したものがログイン状態(リンク先に権限がない人)もしくは非ログイン状態の場合には、textileのままで表示されてしまいます。
設定を見渡しても同じような挙動にする設定が見当たらず。。。
旧Redmineと同じような挙動に変更することは難しいでしょうか?
一番やりたいのは、リンク先に閲覧権限がない場合は、任意のメッセージを表示したいんですが。。。
前田 剛 さんが6年以上前に更新
Redmine 3.2.6 と 3.3.3 で行われたセキュリティ脆弱性の修正により、ご指摘のような挙動に改められました。脆弱性の内容は、Wikiを見る権限がないユーザーでもリンクを利用してページが存在するかどうか調べることができるというものです。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15577
この修正は r16283 で行われました。 脆弱性を許容して元の挙動に戻したい場合は application_helper.rb を1行書き換えて修正前の状態に戻してください。
Index: app/helpers/application_helper.rb
===================================================================
--- app/helpers/application_helper.rb (revision 17174)
+++ app/helpers/application_helper.rb (working copy)
@@ -745,7 +745,7 @@
title ||= identifier if page.blank?
end
- if link_project && link_project.wiki && User.current.allowed_to?(:view_wiki_pages, link_project)
+ if link_project && link_project.wiki
# extract anchor
anchor = nil
if page =~ /^(.+?)\#(.+)$/
Tamura Shinji さんが6年以上前に更新
- ステータス を 新規 から 回答済 に変更
さっそくありがとうございます。
脆弱性の部類に入るんですね。。。
一旦戻すか、他の動作がいつまで残るか次第ではこの挙動に慣れてもらうほうがいいかもしれませんね。
せめて、リンクだけしない様な形だと嬉しかったですが。。。
たとえば、
[[Guide|User manual]]
と記述されていたら、htmlリンクなしで、 "User manual"だけ表示するとか。
前田 剛 さんが6年以上前に更新
同じ話が公式でも出てるのでリンクを貼っておきます。
Feature #26530: Links to Wiki pages of unauthorized projects should be smarter
Tamura Shinji さんが6年以上前に更新
おぉ、ほしいところまではいっている!
パッチ充てプラグインをつくってみよう。。。
設定でオンオフできるようにしておきたいし。。。
Tamura Shinji さんが6年以上前に更新
ということで、作ってみました
