4.4.2 Compte visiteur

Bonjour

Je n'arrive plus à empêcher un compte avec le statut "visiteur" d'avoir accès à son compte, comme c'était le cas dans la version 4.3…

C'est ennuyeux, parce que j'ai un compte visiteur "générique", et chacun a donc accès à la liste de toutes les connexions antérieurs, avec adresse IP, etc.

Bonne soirée

JPP



 

Je suis repassé en 4;3.1 et j'ai bricolé le fichier comptes.php dans le répertoire comptes, pour empécher les visiteurs d’avoir accès au compte, il m'a suffit de réactiver un bout qui avait été mis en commentaire, en interdisant si le Userlevel est inférieur à 2


Original
/*if ((authGetUserLevel(getUserName(), -1, 'area') < 4) && (authGetUserLevel(getUserName(), -1, 'user') != 1))
{
showAccessDenied($back);
exit();
}
*/
// a priori inutile, les droits d'accès dépendent d'autres fonctions et l'accès aux données est RGPD compliant

Modifié
if ((authGetUserLevel(getUserName(), -1, 'area') < 2) && (authGetUserLevel(getUserName(), -1, 'user') != 1))
{
showAccessDenied($back);
exit();
}
// a priori inutile, les droits d'accès dépendent d'autres fonctions et l'accès aux données est RGPD compliant


Le problème est donc résolu pour moi. J'espère que ça pourra servir à d'autres.

Bonjour,
merci pour le signalement.
J'étudie le cas dès que possible.
Cordialement,
YN

Je pense que l'accès des visiteurs à la page "Mon compte" doit être repensé, peut-être paramétré.
Vous avez bien fait d'adapter le code à votre pratique, je remarque que cette modification de l'accès est déjà assez ancienne.

Je suis loin d'être un utilisateur averti de php, mais il m'a été facile de comprendre et de modifier.

Quand je vais changer de version pour remplace ma 4.3.1 par la 4.3.9 comme vous me le conseillez, je referai le même bidouillage.

Ma difficulté vient du fait d'un choix que j'ai fait, mais par obligation: le compte visiteur est un compte "générique" dont des centaines de gens connaissent le login et le password, et donc il ne faut pas qu'ils puissent le "trafiquer". Disons qu'une modification simple du genre réglage "les visiteurs ne peuvent pas accéder à leurs comptes" pourrait suffire. Ou alors mettre un réglage sur l'accessibilité par les visiteurs à la liste des logs, puisque c'est pour ne pas qu'ils voient la liste des lots que j'ai supprimé leur accès.

Bonne journée

JPP

Bonjour,
j'ai bien compris votre contexte : vous ne voulez pas ouvrir les plannings à tous, mais vous ouvrez un accès anonyme avec un code.
En matière de droit, je me demande si ce ne serait pas plus judicieux de définir un type de visiteur "anonyme" reprenant votre usage.
Cordialement,
YN

En effet, de fait, ce visiteur (en fait j'en ai deux, et même quatre, parce que nous changeons régulièrement les identifiants et les codes) est un visiteur anonyme.

Donc, un profil de "consultation anonyme", qui ne pourrait absolument pas avoir accès à son profil, serait sans doute plus en phase avec les règles du RGPD.