Безопасность: Не работают права доступа в поле Сущность и Связанные записи

[nikolay.rastegaev]

Сценарий:
1) Есть Сущность1, для которой установлены разграничения прав доступа (например, у пользователя доступ "Просматривать только назначеные").
2) Есть Сущность2, в которой есть поле типа "Сущность", в которой пользователь может выбрать Сущность1.
3) Если для Сущность1 у пользователя нет прав на просмотр сущностей (либо полностью, либо "только назначенные"), при добавлении/редактировании Сущности2 в поле типа "Сущность" доступны для просмотра и для выбора все Сущности1. А не должны быть доступны.

Обоснование:
Например, у нас есть список проектов, доступ к которым ограничен пользователям. Пользователи даже не должны знать названия проектов, к которым у них нет доступа.В других сущностях (запросы, планы и т.д.) есть ссылка на проекты через поле типа "Сущность". Пользователь может выбирать из этого поля. И получается, что выбирая проекты из списка, пользователь видит в этом списке все-все проекты, в независимости от того, что у него полностью закрыт к ним доступ.

Полностью аналогично Руководитель не учитывает ограничения на доступ в поле типа "Связанные записи".
Если у пользователя нет доступа к каким-то проекта (например, у пользователя уровень доступа просматривать только назначенные проекты), то он он не должен их видеть в диалоговом окне для выбора записей для связывания. Сейчас в списке для связывания пользователю видны все проекты, даже если у него полностью или частично ограничен к ним доступ.

[nikolay.rastegaev]

Сергей, прошу прощения, что как-то раньше не заметил эту прореху в безопасности.
Удастся до 2.5.1 это исправить?

[support]

Дело в том, что тут не всегда нужно проверять доступ. Некоторые справочники могут быть скрыты для пользователя, но доступны в форме.
Я добавлю опцию для поля "Проверять доступ" и тогда будут выводится не все, а только назначенные.
Будет в 2.6

[Grafline]

Проблему можно временно решить если в конфигурации полей сущности 2 в в настройках фильтра поля сущности 1 добавить фильтр по полю ( пользователь, доступ) Текущий пользователь.

Но будет работать только если у вас доступы настроены по пользователю, а не по группе доступа.
Очень хотелось бы чтобы работало и по группе пользователей тоже)

[surgutus]

Есть в этой "бреши" полезная сторона монеты для меня ))))

На счет выпадающего списка согласен, но отображаемую инфу в этом списке можно регулировать параметрами поля.

В моей логике все адреса доставки клиентов заносятся именно в заказ, это позволяет сторонним курьерам создать отдельную сущность для заданий на доставку и обрубить доступ в сами заказы, НО вытащить набор полей (например с контактными данными и адресом доставки), именно такой метод позволяет своевременно отобразить изменения в адресе доставки и просто отобразить его в поле задания на доставку.

Тобишь, исправив адрес доставки в карточке заказа, продавцу не надо помнить ни про заказы поставки и доставки связанных с этим заказом, они автоматом отобразятся правильные.

[support]

В 2.6 добавлена настройка "Отобразить только назначенные записи"
Данная настройка также присутствует в поле "Сущность, выпадающий список (ajax)"