오브젝트 드롭다운 보안 고려사항

오브젝트 드롭다운 유효성 검사에서 정적 값 필터는 액션 유형을 볼 수 있는 모든 사용자에게 노출됩니다. 이러한 필터를 사용하면 필터링된 오브젝트를 볼 권한이 없는 사용자에게 속성 값 조합이 노출될 위험이 있습니다. 오브젝트 속성이나 파라미터를 사용하여 오브젝트셋을 필터링함으로써 이 위험을 완화할 수 있습니다. 값은 인터페이스에 직접 표시되지 않습니다.

예시: 데이터 프라이버시 문제

예를 들어, Investigation Name 속성이 있는 Document 오브젝트가 있다고 가정해 보겠습니다. 액션 유형에서 오브젝트 참조 파라미터에 필터를 추가하여 Investigation Name이 Area 51 Investigation인 Documents만 표시하도록 합니다.

여기서 Area 51 Investigation이 일부 Document 오브젝트의 속성 값임을 볼 수 없는 사용자에게 알리게 됩니다.

이는 정적 값 필터에만 해당됩니다. 파라미터 또는 다른 오브젝트의 속성으로 Investigation Name 속성을 필터링할 때 Area 51 Investigation에 대한 참조는 없습니다. 왜냐하면:

• Investigation Name 파라미터는 사용자가 제공한 것입니다. 기본 데이터에 대한 정보는 액션 유형 보기 권한 보유 사용자에게 노출되지 않습니다.
• Investigation Object 파라미터는 이 사용자에 대한 오브젝트 가시성에 대한 기존 제한을 적용할 것입니다.

따라서 이러한 검색 쿼리 중 어느 것도 데이터 프라이버시 문제를 나타내지 않습니다.

기술 세부 정보

대부분의 경우, 액션 백엔드에서 액션 유형 정의의 민감한 정보를 삭제하여 민감한 속성 값 노출을 방지합니다. 예를 들어, 액션 제출 기준은 액션 유형을 편집할 수 없는 사용자에게 숨겨집니다. 마찬가지로 사용자는 인터페이스에서 액션 유형 정의의 새로운 오브젝트 드롭다운 필터를 볼 수 없으며, 백엔드의 응답을 검사하는 동안에도 볼 수 없습니다.

그러나 액션 양식을 보는 동안 오브젝트 드롭다운 유효성 검사는 오브젝트셋으로 변환됩니다. 이는 사용자가 이 오브젝트셋을 포함하는 네트워크 요청을 검토할 수 있음을 의미합니다. 위의 예에서 사용자는 Investigation Name = 'Area 51 Investigation' 필터가 포함된 오브젝트셋 RID를 받게 되어, 해당 속성 값의 존재를 알리게 되는데, 이때 사용자가 해당 오브젝트를 볼 수 없어도 됩니다.

이는 이러한 값들이 모든 사용자에게 인터페이스에 표시되지 않음을 의미합니다. 가시성이 보안보다 더 큰 우려사항이라면 이 경고는 무시해도 됩니다.