Sécurité : tout le monde aurait le droit de changer les configs ?
En répondant à Shugay, je voulais lui dire de faire un db.call('index/configs') juste pour voir les configs... et, en essayant de mon côté en étant impersonated sur son compte, je me suis rendu compte que je peux éditer les configs (alors que le droit n'est que de "read" normalement).
Ca va meme plus loin, en creusant un peu, je m'apperçois que lancer un db.call avec les bons parametres dans la console affiche la page meme si on n'est pas connecté. ex: db.call('sample_set/index', {'id' :'62' , 'config_id' : 5 } ) De là, je peux même télécharger le fichier results.
J'ai rajouté des vérifications avec la méthode existante dans auth: can_modify_config et j'ai caché les boutons pour les personnes non-admin.
Rando 2016: ok pour Ryan. merci !