Visão Geral
Dentre os dispositivos de seguranças, que são possíveis configurar na plataforma LATROMI, temos a opção de adicionar um usuário para acesso anônimo. Esta configuração permite eleger um usuário do sistema, para ser usado quando não há um usuário autenticado. [Saiba mais]
Isso permite que os usuários naveguem por páginas selecionadas sem a necessidade de autenticação.
Problema
A plataforma trata o usuário eleito como “usuário de acesso anônimo” (configurado nas Configurações do Site), como um acesso normal daquele usuário, onde a autenticação ocorre “por baixo dos panos”.
No entanto, se um usuário com papel de Administrador ou Desenvolvedor for acidentalmente definido para o acesso anônimo, isso trará riscos críticos de segurança, como por exemplo, acesso irrestrito às configurações da plataforma sem o devido processo de autenticação.
Simulando
A simulação deste reporte deve ser feito seguindo os passos abaixo:
- Acesse o LATROMI Web.
- Entre como um usuário com papel de administrador.
- Acesse a página de
Configurações do Site. - Na configuração de acesso anônimo, informe um usuário com papel de administrador..
- Faça logout da sessão atual.
- Tente acessar a página
/Settings. (ex:https://latromi.minhaempresa.com.br/web/Settings)
Solução
Visando evitar a inclusão acidental de um usuário com privilégios de Administrador ou Desenvolvedor para o Acesso Anônimo, propomos a seguinte modificação:
Sempre que a autenticação ocorrer pelo método “anônimo”, a plataforma deve ignorar qualquer papel atribuindo ao usuário (ex: Administrador ou Desenvolvedor), operando sempre como um usuário comum.