Method/Security
Publieke artikelen kunnen privé attachments hebben. En andersom. Als je ingelogd bent, zie je alles. Van buiten (niet ingelogd) zie je als mens vaak niets, maar Google vindt je attachments wel, kan ze indexeren en de url beschikbaar stellen. Kortom een woud aan onderlinge afhankelijkheden.
De zaak compliceert verder als redacteuren gevoelige informatie gaan uploaden voor ingelogde gebruikers. Als het CMS nog niet is gefinetuned op dit mechanisme dan kan het voorkomen dat gevoelige informatie via een publiek attachment aan een privaat document (artikel!!) toch op straat komt te liggen.
Dit hele speelveld is moeilijk te doorgronden en uit te leggen en er treedt snel spraak verwarring op: tekst, URL, document, bestand, artikel, attachment, privaat, publiek, ....
Aan ons de taak dit telkens bij een functionele security check (mensenwerk) door te akkeren met de klant. Ook als de klant daar niet expliciet om vraagt. Vroeg of laat worden we namelijk ingehaald door de feiten.
Contents
Iteraties zijn gevaarlijk...
Eerst dit toelaten dan dat is een gevaarlijke benadering. Je verliest content uit het oog. Meteen goed opzetten luidt het devies.
Vul deze pagina aan met gegevens uit: https://service.2value.nl/elzha/case/21432
Keuze tussen veiligheid en openbaarheid
Veiligheid gaat voor. Dan maar andere digitale manieren aanwenden om documenten op de plek van bestemming te krijgen en daar te beheren; zoals daar zijn:
- email (niet graag, maar het kan)
- dropbox
- box.net
- googledocs
Dat je als anonieme bezoeker momenteel geen bestanden aan artikelen kunt openen is een gevolg van de ingrepen die gisteren nodig bleken: bestanden moesten worden afgeschermd.
De functionaliteit dat we per bestand die geupload kunnen worden bij artikelen moeten kunnen aangeven of ze publiek dan wel afgeschermd moeten zijn, is een voor ons nieuwe wens.
Henk van Cann 6/21/11 3:39 PM ja want dat andere (artikelen) hebben we wel toegezegd
Bas Vredeling 6/21/11 3:39 PM documenten kunnen prive zijn 6/21/11 3:40 PM maar je kunt ook publieke documenten met prive bestanden hebben en andersom Bas Vredeling 6/21/11 3:40 PM dat is de nieuwe wens
Henk van Cann 6/21/11 4:04 PM Cases waar we evt. toezeggingen hebben gedaan over het onderwerp afgeschermde documenten versus publieke documenten:
https://service.2value.nl/elzha/case/21002 https://service.2value.nl/elzha/case/21229
Check svp nog even of we daar mis zitten, zodat ik Wendy kan berichten 6/21/11 4:39 PM Loopt hier boven geen bloed uit?
Bas Vredeling 6/21/11 4:40 PM
Alles wat "document" heet in elzha is GEEN bestand maar een content-type
6/21/11 4:40 PM
als er dus staat: "document moet verborgen zijn" dan wordt dat content type verborgen
6/21/11 4:40 PM
niet de attachments
Henk van Cann 6/21/11 4:41 PM
ok, aan mij de eer om het uit te leggen
Bas Vredeling 6/21/11 4:42 PM
en later zijn die "documenten" weer publiek geworden
6/21/11 4:42 PM
toen ze nog verborgen waren kon google ze niet indexeren
6/21/11 4:42 PM
daarna wel
Henk van Cann 6/21/11 4:43 PM
On 6/21/11, at 4:42 PM, Bas Vredeling wrote:
> en later zijn die "documenten" weer publiek geworden
Henk: hiermee bedoel je de attachments?
Bas Vredeling 6/21/11 4:43 PM
nee, dat content type
6/21/11 4:44 PM
dat wilden ze
6/21/11 4:44 PM
verder heeft joris in januari juist met die access rights het een en ander gedaan
