Trac的。上传附件会在历史记录视图中为所有用户显示其内容。如何自定义权限?

时间:2011-10-06 14:21:39

标签: security trac

我正在使用Trac的"MyPage"插件。

我已经发现将SSH密钥存储在我的私人页面上作为附件非常有用,因此我可以从任何计算机克隆我的GIT存储库。 然后我发现任何可以查看历史记录选项卡的用户都可以看到附件的内容:/

知道如何保护这件事吗?

1 个答案:

答案 0 :(得分:0)

由于一般来说这是一个功能,您只想从常见视图中阻止一个或多个特定附件。

如果是这样,TracFineGrainedPermissions适合您。然后你就可以拥有像

这样的东西
[wiki:Users/KilldaclickHome@*/attachment/supersecret.file]
killdaclick = ATTACHMENT_VIEW
* = !ATTACHMENT_VIEW

只是拒绝对除您自己之外的任何人访问特定文件。请查看FineGrainedPageAuthzEditorPlugin以获取定义这些权限的替代方法(从Web-UI而不是直接访问authz文件)。

你肯定会考虑授予'TRAC_ADMIN'权限 - 只是暗示这些用户可以编辑文件并可能规避任何限制。但是'TRAC_ADMIN'无论如何都会有'ATTACHMENT_VIEW'。