Пытался тут настроить на Рево 2.2.5 определенные политики безопасности, но ничего не могу понять: как не крути, все равно все доступно. Даже выполняю $modx->hasPermission('asdasdasda'); (то есть на проверку того, чего вообще нет), а все равно 1. Полез в код. И что там видно?
public function checkPolicy($criteria, $targets = null) {
if (
$criteria
&& $this->xpdo instanceof modX
&& $this->xpdo->getSessionState() == modX::SESSION_STATE_INITIALIZED
){
if ($this->xpdo->user->get('sudo')){
return true;
}
}
}
То есть если пользователь SUDO, то для него вообще не существует препятствий. А ведь раньше можно было одним неловким движением админу полностью закрыть доступ в админку и т.п.
Полез в changelog, ввели эту радость в версии 2.2.1
Так что если решите экспериментировать с доступами, сразу создавайте тестового пользователя, не SUDO.