[53723] in SAPr3-news
Re: Berechtigung Zugriff auf FileSystem
daemon@ATHENA.MIT.EDU (Christian Zalto)
Mon Mar 7 17:25:19 2005
To: sapr3-news@mit.edu
Date: Mon, 7 Mar 2005 23:25:10 +0100
From: "Christian Zalto" <zalto@t-online.de>
Message-ID: <d0ik9s$ffj$01$1@news.t-online.com>
"Markus Henchel" <markus.henchel_NO_SPAM_@gmx.de> schrieb:
> was mich auch faszinierd ist die Tatsache, dass ein FB
> GUI_GET_FILE_INFO bzw. die Methode
> CL_GUI_FRONTEND_SERVICES=>FILE_EXISTS mir die
> Größe bzw. zurückliefern das die Datei existiert, obwohl ich eigentlich
> keinen Zugriff auf Datei habe (mit Windows Bordmitteln).
> Das ist doch eine Sicherheitslücke, oder?
>
Bist Du sicher, dass Du nicht zumindest das Recht "Ordnerinhalt
auflisten" besitzt, zu dem Ordner, in dem die Datei liegt?
Das allein wäre schon ausreichend, um zu sagen, ob die Datei
existiert oder nicht - auch ohne Lesezugriff.
Zur ursprünglichen Frage: Ich glaube nicht, dass es eine Möglichkeit
gibt, aus SAP heraus die exakten Berechtigungen auf einen
Ordner im Frontend zu bestimmen, weil die Berechtigungs-
struktur zu stark abhängt vom verwendeten Betriebssystem.
Selbst "richtige" Windows-Programme sind doch in der Regel so
gestrickt, dass sie einfach mal den Zugriff auf die Datei ausprobieren
und dann die Exception abfangen, ohne vorher groß die Rechte
auf Ordner- und Dateiebene zu analysieren.
Und wenn Du einerseits geprüft hast, dass die Datei existiert und
Du andererseits dann doch keinen Lesezugriff bekommst, lässt
sich doch anhand des Programmablaufs davon ausgehen, dass es
sich höchstwahrscheinlich um ein Berechtigungsproblem handelt,
oder?
--
Mit freundlichen Grüßen,
Christian Zalto
