En general, ¿se considera un problema de seguridad si un usuario en una aplicación de 3 niveles tiene acceso de solo lectura a los permisos de otros usuarios? Es decir. Alice puede ver que Bob tiene o no tiene acceso a algún recurso.
Potencialmente, claro.
Si los permisos son visibles, eso le da al atacante una lista de nombres de usuario válidos y le dice al atacante qué cuentas son los mejores candidatos para atacar. Es más probable que un atacante quiera ingresar a la cuenta jdoe en el sistema de recursos humanos si sabe, por ejemplo, que jdoe tiene la capacidad de ver el salario de todos.
Hacer que los permisos sean visibles también hace que sea mucho más probable que otras deficiencias de seguridad sean explotadas. Si alguien olvidó eliminar la cuenta jdoe cuando fue despedido, por ejemplo, o si alguien le asignó privilegios inadvertidamente a jdoe en lugar de janedoe , los privilegios visibles le permiten al atacante ver inmediatamente dónde están los puntos débiles y averiguar cómo para elaborar un ataque para detenerlo.
Por supuesto, el atacante todavía tiene que diseñar un ataque apropiado, ya sea técnico o social, para explotar la información que obtiene al poder ver los privilegios de otros usuarios. Solo hace que sea más rápido, más fácil y más seguro montar el ataque si sabes dónde están los puntos de presión.
Lea otras preguntas en las etiquetas permissions theory