Open fcvalgar opened 4 months ago
Hola @fcvalgar , yo creo que es un BUG del módulo, dado que esa pestaña se debería comportar de manera análoga a la pestaña de Contabilidad. Es decir:
Igual que si tengo acceso a la pestaña de Contabilidad veo la pestaña Contabilidad y si no no
Pues
Si tengo acceso como responsable de AEAT veo la pestaña y si no No
Para todos, es un problema de seguridad importante en la parte de protección de datos puesto que si os fijáis si usas el 190 y rellenas datos, como hacemos, ahí salen datos privados de salud como si tienes discapacidad y cosas así... y lo puede ver cualquiera.
¡Gracias! ¡Saludos!
Creo que es un cambio fácil @OCA/local-spain-maintainers que nosotros haremos un PR para que esa pestaña no se muestre si no tienes en el usuario el permiso de AEAT. ¿Os parece OK? Gracias. 😄 ❤️
Fix en https://github.com/OCA/l10n-spain/pull/3692.
Si hay campos cuya privacidad es más crítica, decidme cuáles por favor porque hay que añadir una capa extra de seguridad a nivel ORM.
Module
l10n_es_aeat
Describe the bug
Cuando accedo a la dirección privada de un contacto mediante un usuario sin permiso Manager AEAT puedo ver la pestaña AEAT.
To Reproduce
[OCA | [16.0]] [FIX] Pestaña AEAT visible 👤MT-6959 - Watch Video](https://www.loom.com/share/07390fd520fa4f80a77744220ec75d90)
Expected behavior Que la pestaña AEAT este oculta para los usuarios no autorizados.
Moduon Task - #6959 @moduon