Open remipichon opened 8 years ago
PtiLuky
commented
8 years ago 
Niveau sécu, ça affiche tout ça dans le html, on a besoin d'afficher ça au client ,
Puis du coup on a l'id de la team qui s'affiche, j'ai aucune idée de si ça poste problème niveau sécu
remipichon
commented
8 years ago Niveau sécurité, le front reçoit quasiment toutes les données existantes. Les _id apparaissent dans le html mais également dans les collections accessible depuis la console JS. Il est vrai que donner tout ce genre d'information au client n'est pas une bonne idée mais pour plus de réactivité c'est le seul moyen et surtout le plus simple.
Notre sécurité réside côté server avec les allow/deny sur les collections. Sans les bon droits, une requête ne passera pas. Notre data integrity est assurée par le schéma, même si l'utilisateur récupère un id de team il ne pourra pas le mettre dans un champ demandant un id de user. Et si le user récupère un id de team existant et le met dans un champ demandant un team id il s'est juste fait chier pour faire une opération que l'interface permet.
Est ce que tu vois d'autres cas de tentative de corruption ?
Le 7 août 2016 21:13, "PtiLuky" notifications@github.com a écrit :
[image: sans-titre-1] https://cloud.githubusercontent.com/assets/3687994/17464619/8214cb8e-5ce3-11e6-8f28-a038d4c5f97e.jpg Niveau sécu, ça affiche tout ça dans le html, on a besoin d'afficher ça au client , Puis du coup on a l'id de la team qui s'affiche, j'ai aucune idée de si ça poste problème niveau sécu
— You are receiving this because you were assigned. Reply to this email directly, view it on GitHub https://github.com/assomaker/manifmaker/issues/224#issuecomment-238102085, or mute the thread https://github.com/notifications/unsubscribe-auth/ADuJ-hhgbldNZlveqgEoDW55qkEb8XN6ks5qdi5FgaJpZM4Jd8k3 .
PtiLuky
commented
8 years ago Okay je vois.
Non du coup je vois pas d'autres cas pour l'instant.
remipichon
commented
8 years ago Mais c'est une problématique à ne pas oublier, tu fais bien de relever le cas
Le 7 août 2016 10:13 PM, "PtiLuky" notifications@github.com a écrit :
Okay je vois.
Non du coup je vois pas d'autres cas pour l'instant.
— You are receiving this because you were assigned. Reply to this email directly, view it on GitHub https://github.com/assomaker/manifmaker/issues/224#issuecomment-238105475, or mute the thread https://github.com/notifications/unsubscribe-auth/ADuJ-qLOM_bUFrdS4uqVdQsqB2psFXc2ks5qdjxZgaJpZM4Jd8k3 .
PtiLuky
commented
8 years ago Quand on choisit "WithoutLabel=true", il faudrait qu'on puisse modifier via un clic sur la barre elle-même et non sur le label, n'existant plus.
Globalement j'ai un peu de mal à avoir ce réflexe de cliquer au dessus sur ce bouton "invisible" (bien que je trouve utile la selection rapide pour l'utilisateur de base)...
remipichon
commented
8 years ago Avec "withoutLabel" il y a un icon pour pouvoir ouvrir la popover, tu dis qu'il n'est pas visible ? J'ai peut-être bien oublié de résoudre un problème de CSS ou d'icône.
Il est vrai que ce petit icône n'est pas facilement cliquable. On peut faire en sorte que les lignes "selected" soient cliquable pour ouvrir la popover mais en conservant le comportement "quickSelect" si présent.
Avec le label, la popover s'ouvre en cliquant sur "selectLabel", sur l'icône et sur les options déjà selected ou sur "nothingSelectedLabel". Sans le label, il reste les options selected ou "nothingSelectedLabel".
Est ce que tu penses que ça passera ?
On Aug 11, 2016 12:58 AM, "PtiLuky" notifications@github.com wrote:
Quand on choisit "WithoutLabel=true", il faudrait qu'on puisse modifier via un clic sur la barre elle-même et non sur le label, n'existant plus.
Globalement j'ai un peu de mal à avoir ce réflexe de cliquer au dessus sur ce bouton "invisible" (bien que je trouve utile la selection rapide pour l'utilisateur de base)...
— You are receiving this because you were assigned. Reply to this email directly, view it on GitHub https://github.com/assomaker/manifmaker/issues/224#issuecomment-239030235, or mute the thread https://github.com/notifications/unsubscribe-auth/ADuJ-tHEIX8raOOwQ8JwDbDmZoRKCeu6ks5qelefgaJpZM4Jd8k3 .
PtiLuky
commented
8 years ago Oui il y a bien l'icone, c'est juste qu'il est petit et c'est galère de le choper.
Ouep, je pense qu'en ajoutant le clic sur le "nothingSelectedLabel" et les options déjà select ça permet d'aider à le trouver. Et du coup s'il y a un quick select, et que l'utilisateur ne "sait pas" qu'il faut cliquer au dessus, un clic normal active le quickselect (disons que ce n'est pas ce qu'il veut), donc une option est selectionner, et naturellement quand on a pas compris ce que le clic a fait alors qu'on voulait autre chose, bah on reclic : du coup maintenant (une option est déjà sélectionnée) ça ouvre la liste complete comme l'user pouvait vouloir. TL;DR : Good !
Bref, j'approuve
remipichon
commented
8 years ago Good, je vais créer une nouvelle issue pour traiter ça au plus vite
Le 11 août 2016 01:37, "PtiLuky" notifications@github.com a écrit :
Oui il y a bien l'icone, c'est juste qu'il est petit et c'est galère de le choper.
Ouep, je pense qu'en ajoutant le clic sur le "nothingSelectedLabel" et les options déjà select ça permet d'aider à le trouver. Et du coup s'il y a un quick select, et que l'utilisateur ne "sait pas" qu'il faut cliquer au dessus, un clic normal active le quickselect (disons que ce n'est pas ce qu'il veut), donc une option est selectionner, et naturellement quand on a pas compris ce que le clic a fait alors qu'on voulait autre chose, bah on reclic : du coup maintenant (une option est déjà sélectionnée) ça ouvre la liste complete comme l'user pouvait vouloir. TL;DR : Good !
Bref, j'approuve
— You are receiving this because you were assigned. Reply to this email directly, view it on GitHub https://github.com/assomaker/manifmaker/issues/224#issuecomment-239036996, or mute the thread https://github.com/notifications/unsubscribe-auth/ADuJ-qyFueF0z_M8ta8s9t5fDLQga8UKks5qemDGgaJpZM4Jd8k3 .