<div dir="ltr">Hi Vladimiro!<div>Good catch, it looks that we implemented the permissions for layers but not the check on map download see here <a href="https://github.com/GeoNode/geonode/blob/master/geonode/maps/views.py#L593">https://github.com/GeoNode/geonode/blob/master/geonode/maps/views.py#L593</a>. We are also missing a test then.</div><div>To fix that is enough to add </div><div><div><i>or not request.user.has_perm('download_resourcebase',obj=ownable_layer.get_self_resource())</i></div></div><div>We will fix this soon in master.</div><div>Thanks again for reporting!</div></div><div class="gmail_extra"><br><div class="gmail_quote">2015-05-05 17:55 GMT+02:00 Vladimiro Bellini <span dir="ltr"><<a href="mailto:vlasvlasvlas@gmail.com" target="_blank">vlasvlasvlas@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi!<div><br></div><div>i'm having some user-groups security issue...</div><div><br></div><div>i installed geonode 2.4 (ubuntu 14)</div><div><br></div><div>i have 1 all-allow private group with 1 all-allow user ,</div><div><br></div><div>and 1 all-deny group with 1 all-deny user.</div><div><br></div><div>I have this issue:</div><div><br></div><div>1- using the all-allow user, i upload a shapefile, and i set public view only (all other permissions just for his own user)</div><div><br></div><div>2- logging as the all-deny user, i do see the uploaded layer, thats correct because i chose that "everyone can see this layer, but they cannot download it"</div><div><br></div><div>3- using the same all-deny user, i create a map using the can-view cannot-download layer.</div><div><br></div><div>4- Then click on my created map and choose "download map" and choose "download data layer", then i click on "start map download".. and yes.. there's the problem, being a "you cannot download" user, i just downloaded the "view only" layer by creating a map with it.</div><div><br></div><div><br></div><div>how can this be resolved? </div><div><br></div><div>thanks!</div><div>if you need screenshots i can make them!</div><div><br></div><div>
</div></div>
<br>_______________________________________________<br>
geonode-users mailing list<br>
<a href="mailto:geonode-users@lists.osgeo.org">geonode-users@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/cgi-bin/mailman/listinfo/geonode-users" target="_blank">http://lists.osgeo.org/cgi-bin/mailman/listinfo/geonode-users</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Simone </div>
</div>