les Tag me permettent d'accéder à une autre session

Powerdom

Vénérable sage
Club MacG
29 Mars 2003
10 773
2 093
58
Doubs.
Bonjour,

Je constate un curieux comportement sous maverick ce soir.

en cliquant sur un tag de couleur, dans une fenêtre de finder, je remarque que ce dernier m'affiche tous les tags qu'il trouve même ceux de la session de ma fille.

je peux même ouvrir ses documents !!

systeme030.jpg
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Pas cool.

Si tu as le moyen de faire remonter l'info à Apple ce serait nickel, parce que s'il est avéré c'est un gros bug.

(je suis curieux de savoir si ça se produit avec des machines en réseau.)
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
merci da capo.

d'autres remarquent le même symptôme ?

Et bien, ta remarque m'avait semblé incroyable à la première lecture mais, tu n'es pas le dernier arrivé, donc je fais confiance.

Et puis là, j'ai pris le temps d'expérimenter pour voir si sur mon MBP le même trou de sécurité.

Depuis ma session principale, rien, pas moyen de voir ce qui apparait dans un autre compte.
Alors, je me suis connecté depuis un autre compte admin (de secours) et là OH !!! mais je trouve tout !!! Même ce qui n'est pas tagué !

Le bug n'est donc pas isolé, tu ne souffres pas d'une maladie orpheline.

Pas cool. Mais je n'ai pas pu déterminer quelles étaient les conditions requises.

Je réveille le fil à cette occasion, parce que c'est plutôt grave comme situation.
L'indexation par Spotlight a visiblement des problèmes avec les autorisations, mais pas pour tous les utilisateurs.


Alors, pour info :

Compte administrateur nominatif (adriano) visible depuis un autre compte administrateur (admin).
L'inverse n'est pas vrai.

Maverick appliqué par MàJ depuis ML
Pas d'autre pépin recensé.

Pas de souci autre repéré.
Les droits semblent normaux sur mon dossier perso dans Users.

A suivre.


securite-109.png


On voit clairement que le document dont on voit le contenu depuis Spotlight est sur le bureau du compte "adriano" alors que je suis loggé sur le compte "admin"
 
Dernière édition:

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Ne le dis à personne, mais je bosse pour la N.S.A.
 

Powerdom

Vénérable sage
Club MacG
29 Mars 2003
10 773
2 093
58
Doubs.
cela n'est donc pas forcément lié à un compte sous contrôle parental comme je l'avais supposé au départ. :mouais:

ça pourrait même faire un article de Macgé...
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
cela n'est donc pas forcément lié à un compte sous contrôle parental comme je l'avais supposé au départ. :mouais:

ça pourrait même faire un article de Macgé...

Tout à fait.

Sur ma machine, ce sont deux comptes avec des droits d'administration.

Mais, tout ne semble pas visible, et mon compte "admin" ne contient pas de documents de travail. Il me sert uniquement comme compte de secours "au cas où".

Si j'ai le temps, j'y créerai quelques documents pour voir.
 

Powerdom

Vénérable sage
Club MacG
29 Mars 2003
10 773
2 093
58
Doubs.
curieux que ce fil ne rencontre pas plus de réaction.. :mouais:

je vais tester lorsque j'aurais accès à mon imac si depuis la session sous contrôle parentale j'accède à mes documents.
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
Ton fil a été noyé dans la déferlante de la sortie de Mavericks ! :)


J'ai le souvenir d'un gag dans ce genre, en 10.5, où tout dossier créé à la racine du compte se voyait autorisé en lecture à Staff et Everyone : Spotlight me donnait l'accès à des fichiers d'un autre compte.
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Ton fil a été noyé dans la déferlante de la sortie de Mavericks ! :)

petit jeu de mot sympa qui masque au passage la réalité : ce forum n'a pas ou peu d'utilisateurs dont les machines inter-opèrent en réseau professionnel.
Le mac est une machine personnelle, un petit "bijou" à moi que c'est le mien.

Le même gag détecté en entreprise aurait un tout autre retentissement.

Je n'ai pas de iPhone ou iPad, mais je suis curieux de savoir si le dysfonctionnement ne se répète pas aussi entre ces iDevices et un ordinateur Mac.

Moi, je n'aime pas.


Bref, seul moyen de le rendre visible dans macge.co : le faire vivre en y ajoutant nos contributions (intéressantes de préférence).


Sinon : je ne sais pas si powerdom a remonté ça à Apple, moi, j'ai essayé mais ce n'est pas facile de trouver la bonne adresse (je ne suis pas développeur donc pas de compte adapté).
J'ai essayé mais pour l'instant, réponse automatique seulement.

A suivre.

J'ai le souvenir d'un gag dans ce genre, en 10.5, où tout dossier créé à la racine du compte se voyait autorisé en lecture à Staff et Everyone : Spotlight me donnait l'accès à des fichiers d'un autre compte.

Hum… et moi qui avais confiance dans les UNIX.

Mais, certainement parce que je ne n'en suis pas un spécialiste, comment les permissions d'un fichier pourraient dépasser les autorisations du répertoire parent ? Là, je me dis, qu'il y a un truc pas cool et que les limites visibles du bug pourraient sans peine être exploitées par des spécialistes pour leur autoriser des actions bien moins anecdotiques que la simple lecture d'un document.
 

Powerdom

Vénérable sage
Club MacG
29 Mars 2003
10 773
2 093
58
Doubs.
Donc je viens de tester, je ne vois pas mes documents depuis la session sous contrôle parentale. Ni par le Tag, ni par spotlight.

Et pour répondre a ta question da capo, non je n'ai pas fait remonté. j'ignore totalement comment procéder...
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Bah, j'ai cherché sur le support apple, trouvé une adresse mail autour de la sécurité des produits…

Bon, pour l'instant j'ai reçu un mail automatique en réponse.

Sinon, je vais essayer avec https://bugreport.apple.com - on verra.
 
Dernière édition:

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Allez, on en rajoute une couche :

- la déclaration du bug est faite via bugreport.
- je peux aussi accéder à des documents d'une autre session en utilisant les tags depuis la barre laterale ou spotlight de ma session perso à la session admin
- lorsque je fais afficher les informations, la fenêtre annonce "vous ne disposez d'aucun accès connu".
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
Sinon : je ne sais pas si powerdom a remonté ça à Apple, moi, j'ai essayé mais ce n'est pas facile de trouver la bonne adresse (je ne suis pas développeur donc pas de compte adapté).


comment les permissions d'un fichier pourraient dépasser les autorisations du répertoire parent ?
On peut faire un feedback plutôt qu'une déclaration de bug = Apple - Feedback



Les dossiers d'Utilisateur sont accessibles en lecture à Everyone : ainsi, les autres comptes peuvent accéder à mon sous-dossier Public, et on peut accéder à mon sous-dossier Sites.
Mais les autres sous-dossiers natifs de mon compte sont en Accès interdit à Everyone.

Après, je me souviens aussi qu'il y a eu des gags avec des sous-sous-dossiers autorisés en Partage : en accédant à ces sous-sous-dossiers, on pouvait remonter au dossier racine (= le sous-dossier).
Le conseil était donc de n'autoriser en Partage qu'un dossier racine, et pas un sous-sous-dossier du compte.

Mais il y a peut-être un nouveau gag propre à Mavericks ? (= vous semblez rapporter tous deux que tous les éléments de tous les dossiers racine pourraient être concernés par cet accès via les Tags)
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Merci de participer à ce fil.
S'agissant du rapport de bug, je l'ai fait par deux voies : par mail via product security et par bug report.
On verra bien.

Pour la question des droits, je n'ai pas de partage activé.

Sinon, pour compléter l'album photo…

Que se passe-t-il si on veut modifier le nom d'un fichier qu'on n'est pas sensé voir :

109-security-nom.jpg


Que se passe-t-il lorsqu'on lit les informations du fichier en question :

109-security-droits.jpg

Je ne dispose pas d'un accès connu

Mais toi, François, tu es affecté ou pas ?
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 134
627
À côté (de ma plaque)
Mon profil est bien à jour : je suis toujours en 10.8 !

= je ne fais que participer à ce sujet (les droits d'OS X sont un de mes dadas). ;)
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Info du jour, mon message à destination du secteur sécurité de Apple a été pris en compte.

A suivre.
 

Powerdom

Vénérable sage
Club MacG
29 Mars 2003
10 773
2 093
58
Doubs.
Merci de ton retour de capo.

En cherchant à nouveau je me suis aperçu que j'avais également accès à mes documents en passant par les tag de la barre laterale d'une fenêtre du Finder depuis la session invité !!

Session conçue justement pour permettre à un invité d'accéder à votre Mac sans qu'il jette un œil sur vos documents.
 

da capo

abonné absent
Club MacG
12 Août 2001
17 433
3 685
Hello.
Il faut croire que la livraison de la première màj de maverick est proche parce que j'ai reçu un nouveau message de Apple.

J'ai du leur transmettre des infos obtenues en utiisant la commande ls -ld@en

A suivre.