Personalisierte und geschlossene Rubriken

Dieses Forum enthält Diskussionen zu Bugs in ConPresso 4 und deren Lösungen.
Antworten
Christian

Personalisierte und geschlossene Rubriken

Beitrag von Christian »

Mir ist gerade aufgefallen, dass es auch für nicht eingeloggte Personen möglich ist auf Artikel aus personalisierten bzw. geschlossenen Rubriken Rubriken zuzugreifen, indem man über den Aufruf .../index.php?nr=$$$ geht und für $$$ die möglichen Artikel-Nummern eingibt.

Eigentlich dürfte es für Unbefugte zumindest nach meiner Auffassung nicht möglich sein, durch ein sochles Try-and-Error-Verfahren an Inhalte zu kommen, die eigentlich in einem geschlossenen Bereich abgelegt wurden, damit nur Personen mit den entsprechenden Zugangsdaten darauf zugreifen können.

Viele Grüße,
Christian
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

In welchem Verzeichnis rufst Du denn die index.php auf?

Ich kann machen was ich will, mit der _rubric/index.php und Angabe von nr=XXX kann ich keinerlei Artikel aus geschlossenen Rubriken aufrufen... :roll:
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Christian

Beitrag von Christian »

Ich hatte die falsche php-Datei angegeben. Das Problem tritt bei mir beim Aufruf der .../_rubric/detail.php?nr=XXX auf.

Die index.php ist unproblematisch. War mein Versehen.

Gruß,
Christian
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hallo zusammen,

Christian hat teilweise Recht.

Die Inhalte von geschlossenen Rubriken kann man nicht anzeigen lassen, wenn man nicht eingeloggt ist (ein Login im Adminbereich zaehlt als eingeloggt).

Bei personalisierten Rubriken kann man tatsaechlich auf den Detailtext eines Artikels zugreifen, wenn man dessen ID erraet.

Das Problem liegt "im Detail" ;-) in der Datei _includesite/i_detail.php:

Die Zeile 35

Code: Alles auswählen

<?php
if ($Rubric_secure==1) {
?>
muss geaendert werden in:

Code: Alles auswählen

<?php
if ($cpoRubric['seclevel']==SECLEVEL_PERSONALIZED) {
?>
Dann werden auch auf der Detailseite die Personalisierungs-Vorgaben bei der Artikelabfrage aus der Datenbank beachtet. Das bedeutet: nur Artikel ohne Gruppenzuordnung oder diejenigen aus der Gruppe des eingeloggten Besuchers werden angezeigt.

Danke fuer den Hinweis, Christian.

Balu
Christian

Beitrag von Christian »

So ganz kann mich der Lösungsansatz von Balu nicht zufriedenstellen. Diese Lösung funktioniert nur solange auch die (richtige) Rubrik übergeben wird. Gibt der Benutzer in seiner Adresszeile eine andere Rubrik an, d.h. eine Artikel-Nr. aus dem personalisierten oder geschlossenen Bereich und eine Rubrik, die öffentlich ist oder gar keine Rubrik, sind die nicht-öffentlichen Detailseiten weiterhin zugänglich. Also scheint mir das Problem mit dieser Korrektur noch nicht wirklich gelöst zu sein und mein anfangs geschildertes Problem weiterhin zu bestehen.
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Hi Christian,

Du hast natuerlich Recht. Die Idee hierzu war, dass man auch Artikel in anderem Kontext / Layout anzeigen lassen kann, indem man eine andere Rubrik waehlt. Leider fuehrt das zu dem von Dir beschriebenen Problem.

Wir haben verschiedene Methoden probiert und werden eine davon in die 4.0.3a einbringen.

Die Loesung besteht in einer kleinen Aenderung der _includesite/i_detail.php (Zeilen 69ff):

Code: Alles auswählen

$query = "SELECT rubric_id, commentary, verfallsdatum, templates_id, nr, idx, email, autor, pub_datum, titel, initial, freigabe, changer "
        ."FROM ".CPO_NEWS." "
        ."WHERE nr=".$_GET['nr']." "
        ."AND (".$auth_string.") "
        ."AND rubric_id=".(int)$cpoRubric['id']." "; // neu
Jetzt wird der Artikel nur noch angezeigt, wenn auch die Rubrik-ID stimmt.

Balu
Antworten