Hello all,<br>
<br>
I've been looking at vtiger SOAP (version 4.2.x and 5 alpha), and i've
realized that there is an authentication mechanism for them, but it
only returns true or false...<br>
<br>
Once that you guys have been doing a great effort in order to improve
security, but i think that all security is possible to bypass by
accessing by SOAP Services. Am I wrong ?<br>
<br>
for example...<br>
<br>
method DeleteTasks($username,$crmid) in vtigerolservice.php<br>
<br>
If i'm a stranger, i still can do something like DeleteTasks('admin', 1); without any kind of authentication ...<br>
<br>
IMHO, it should be used any kind of token authentication and saved in
$_SERVER[] variable, or authenticate an user with username/password
each time one method is call.<br>
<br>
Best Regards<br>
Joćo Oliveira.<br>