Никто не спешит обсуждать
Вчера обнаружил еще одну проблему с безопасностью в портале:
Если используется функциональность документооборота и документы хранятся в базе данных, то любой посетитель портала без логина может все их выкачать, также можно выкачать все изображения, которые хранятся в CompanyImages, это и фотографии сотрудников и фото номенклатур. Конечно для этого надо приложить усилия, написать скрипт использующий перебор, но в течении некоторого времени все можно выкачать.
Дырку заткнул при помощи опять же проверки конрольной суммы URL.