La interfaz de una aplicación es la misma para cada tipo de rol de usuario. La matriz de acceso también está bien mantenida. Sin embargo, los nombres de casi todas las funcionalidades son visibles para todos los usuarios. Pero si el usuario no está autorizado para una acción en particular, dice "No autorizado" y luego redirige al usuario a la página de inicio.
¿No estoy seguro de informarle a los propietarios de la aplicación? Si lo hago, ¿cae en la categoría de "mejor práctica" o "vulnerabilidad"? Por favor avise.