<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">Le ven. 19 août 2016 à 21:37, Narunas Krasauskas <<a href="mailto:narun4sk@gmail.com">narun4sk@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Pierre,<div><br></div><div>Thanks for the comment.<br><div class="gmail_extra"><br><div class="gmail_quote"></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>The security schemes implemented in buildbot was mainly done to prevent users to do some restricted actions on the bot.<br></div><div><br></div><div>I was not aware of the view restriction functionality in buildbot eight. Indeed it looks like to very well implemented if the json api is not accounting for this restriction.</div></div></blockquote><div><br></div></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div>I hope you have meant "Indeed it looks like NOT very well implemented", otherwise I find it hard to understand how is that an advantage that "/json" bypasses "basic auth"? </div></div></div></div></div></blockquote><div><br></div><div>Indeed, sorry the json api does not take auth into account.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>You can in theory configure read restrictions in buildbot nine, however this is not supported by the UI, and might give you strange results.<br></div></div></blockquote><div><br></div></div></div></div></div><div dir="ltr"><div><div class="gmail_extra"><div class="gmail_quote"><div>So basically you are saying, that to control read access the best option I have is indeed to put it behind reverse proxy or otherwise implement my own web api (which would make it invisible to the internets anyway)? <br></div></div></div></div></div></blockquote><div><br></div><div>I was rather hoping that if someone ever need read access restriction in buildbot, he/she would contribute it to the open source project.</div><div>Like I said, this will mostly be a matter of testing it, and make sure the UI properly reacts to 401 errors.</div><div><br></div><div>Regards</div><div>Pierre</div></div></div>