[sapl-dev] Fwd: Re: [CONFIDENCIAL] Segurança SAPL

Jean Rodrigo Ferri jeanferri em interlegis.gov.br
Sexta Março 18 10:34:29 BRT 2011


Olá pessoal, alguém pode ajudar a implementar o que for necessário, cfe. 
discussão abaixo?

-------- Mensagem original --------
Assunto: Re: [CONFIDENCIAL] Segurança SAPL
Data: Fri, 10 Dec 2010 14:55:41 -0200
De: Claudio Morale <claudiomorale em interlegis.gov.br>
Para: Luis Junior <luisjuniorj em gmail.com>
CC: jeanferri em interlegis.gov.br, lf.toledow em gmail.com

Olá Júnior, no caso para liberar a visão somente para autenticados com
determinados perfis, crie um metadata com o nome do objeto e adicione lá 
a regra. Pegando o seu exemplo: para evitar que um usuário anônimo
acesse (burlando a url) os dados dos dependentes do parlamentar ...
crie no diretório ../cadastros/parlamentar/dependente
dependente_index_html.dtml.metadata com a seguinte regra:
[security]
View = 0:Manager, Operador, Operador Parlamentar

com isso, ao tentar montar a url o SAPL irá verificar que o usuário não
está autenticado e/ou não tem os perfis relacionados e irá
redireciona-lo para a tela de login.

Isso pode ser feito para todos os métodos que vc desejar restringir.
att.


... /cadastros/parlamentar/dependente/
Em 09-12-2010 10:08, Luis Junior escreveu:
> Caros Jean e Morale,
>
> Encontramos um situação preocupante, que merece ser levada a consideração
> dos Senhores, pois, trata-se de falhas de segurança (GRAVISSIMAS)
> no produto SAPL, que nos deixam preocupados no uso do SAPL, como ferramenta
> externa.
>
> Veja o exemplo a seguir:
>
> Como exemplo ultilizar nossa casa como referencia, que pode ser é um
> problema não exclusivo da Camara Municipal de Hortolandia.
>
> Neste link
> http://sapl.cmh.sp.gov.br/sapl/consultas/parlamentar/parlamentar_mostrar_proc?cod_parlamentar=4
>
> Visualizamos os dados do vereador em questão.temos os dados para o usuario
> não logado.
>
> Agora se acessarmos desta maneira:
>
> http://sapl.cmh.sp.gov.br/sapl/cadastros/parlamentar/dependente/dependente_index_html?cod_parlamentar=4
>
> Veja que temos acesso aos seus dependentes, inclusive, a sua data de
> nascimento,CPF e RG, podemos, inclusive, navegar por outros
> dados do vereador sem estarmos logados, abrindo, não só, janelas, mas,
> portas e tudo mais para dados sigilosos.
>
> Isso não ocorre somente nesta pagina, mas em todo o sistema, não é possivel
> salvar alterações (pelo menos ate onde testamos)
> Mas abre o prescedente para tentativas.
>
> Imagine que qualquer pessoa com conhecimento basico pode executar isso, de
> forma simples, trocando a url, e acessando os dados dos vereadores
> de todas as camaras que usam o sistema.
>
> Devemos lembrar que para saber o endereço das páginas de logado é simples,
> funcionários das próprias Câmaras sabem, e tambem
> o sistema é de codigo fonte aberto, é só baixar, entender e executar.
>
> Estes testes são provenientes, de nosso andamento interno, que prevê criação
> de Comissão para analise e implantação do SAPL como
> ferramenta do Processo Legislativo Eletrônico, esta com assinatura digital e
> afins, então, precisamos que o sistema garanta o mínimo de segurança,
> afinal
> o gerenciamento da casa será feito pelo mesmo.
>
> Como proposta de solução sugerimos pedaço do código abaixo. Seria uma
> solução, mesmo que paliativa?
>
> <dtml-let isAnon="portal_membership.isAnonymousUser()">
> <dtml-if isAnon>
> </dtml-if>
>
>
> PS: Estamos finalizando algumas demandas do Luiz Fernando (Sim!! ele
> continua gerando novas demandas, hehehe.) mas ja estamos
> começando a relacionar as alterações que fizemos, afim de encaminhar ao
> interlegis conforme combinamos.
>
> Diante do exposto nos colocamos a disposição.
>
>
> Obrigado.
> Junior, Fagner, Alexandre.
> Camara Municipal de Hortolandia.


Mais detalhes sobre a lista de discussão SAPL-dev