Critique Description
Il y a deux cas de figure pour lesquels l'accès aux ressources n'est pas contrôlé :
- Lorsque des ressources non utilisées sont supprimées, celles-ci ne sont pas toujours nettoyées, cf.
CORE-5114. - Lorsque des ressources sont insérées dans des contenus "hors fiche" mais rattachés à des rubriques restreintes :
- Ressources insérées dans les encadrés ou accroches de rubrique qui ont une restriction d'accès
- Ressources insérées dans les newsletter ou encadrés génériques qui sont explicitement rattachés à des rubriques restreintes
Le souci, c'est que ces ressources peuvent être consultées à cause d'une erreur de contrôle dans Lecturefichiergw :
- Si le média n'est pas public (!MediaUtils.isPublic(mediaBean) => correspond à IS_MUTUALISE=2) ALORS :
- Si le média a des ressources liées ALORS je contrôle l'accès selon la fiche
- Si le média n'a pas de ressource liée ALORS je contrôle par rapport à la rubrique du média => Ce contrôle permet d'accéder à la ressource car elle n'est pas mutualisée donc n'a pas de rubrique donc renvoie OK tout le temps
- Sinon
- Je contrôle l'accès par rapport à la rubrique du média
Il existe trois valeurs pour IS_MUTUALISE :
// 0 mutualise dans la mediatheque // 1 non mutualise et public // 2 non mutualise et prive
La valeur 1 permet notamment d'afficher les images sans contrôle d'accès, pour des raisons de performance.
La valeur 0 permet d'identifier les ressources stockées dans la médiathèque
La valeur 2 correspond aux ressources qui doivent impérativement être contrôlées via la fiche dans laquelle elles sont associées
Pièces jointes
Sous-tâches
Il n'y a aucune sous-tâche pour ce ticket.