0000154: Erweiterung von PuA um eine Rechteprüfung
https://aenderungsverwaltung.nerz-ev.de/view.php?id=154
PuA muss prüfen, ob ein Benutzer berechtigt ist, die über PuA angefragten Daten auch abrufen zu können. Ansonsten kann ein Benutzer die im Datenverteiler bestehende Rechteprüfung so aushebeln, dass er ein PuA-Script erstellt, dass die Daten abruft und er dann selbst ein PuA-Protokoll erstellt und abruft.
PuA wird in der Regel als Systembenutzer gestartet und darf daher in der Regel alle Daten (Online/Archiv) abrufen. Es muss verhindert werden, dass PuA also beliebige Daten an beliebige Benutzer weitergibt.
PuA muss sich bei der Erstellung eines Protokolls den anfragenden Benutzer merken und darf das Protokoll nur erstellen, wenn der anfragende Benutzer auch berechtigt ist, die entsprechenden Daten selbst abzurufen.
Auch gespeicherte Protokolle dürfen nur noch angerufen werden, wenn der Benutzer berechtigt ist, die in dem Protokoll enthaltenen Daten zu lesen.