Mir ist gerade aufgefallen, dass es auch für nicht eingeloggte Personen möglich ist auf Artikel aus personalisierten bzw. geschlossenen Rubriken Rubriken zuzugreifen, indem man über den Aufruf .../index.php?nr=$$$ geht und für $$$ die möglichen Artikel-Nummern eingibt.
Eigentlich dürfte es für Unbefugte zumindest nach meiner Auffassung nicht möglich sein, durch ein sochles Try-and-Error-Verfahren an Inhalte zu kommen, die eigentlich in einem geschlossenen Bereich abgelegt wurden, damit nur Personen mit den entsprechenden Zugangsdaten darauf zugreifen können.
Viele Grüße,
Christian
Personalisierte und geschlossene Rubriken
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
In welchem Verzeichnis rufst Du denn die index.php auf?
Ich kann machen was ich will, mit der _rubric/index.php und Angabe von nr=XXX kann ich keinerlei Artikel aus geschlossenen Rubriken aufrufen...
Ich kann machen was ich will, mit der _rubric/index.php und Angabe von nr=XXX kann ich keinerlei Artikel aus geschlossenen Rubriken aufrufen...
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Hallo zusammen,
Christian hat teilweise Recht.
Die Inhalte von geschlossenen Rubriken kann man nicht anzeigen lassen, wenn man nicht eingeloggt ist (ein Login im Adminbereich zaehlt als eingeloggt).
Bei personalisierten Rubriken kann man tatsaechlich auf den Detailtext eines Artikels zugreifen, wenn man dessen ID erraet.
Das Problem liegt "im Detail" in der Datei _includesite/i_detail.php:
Die Zeile 35
muss geaendert werden in:
Dann werden auch auf der Detailseite die Personalisierungs-Vorgaben bei der Artikelabfrage aus der Datenbank beachtet. Das bedeutet: nur Artikel ohne Gruppenzuordnung oder diejenigen aus der Gruppe des eingeloggten Besuchers werden angezeigt.
Danke fuer den Hinweis, Christian.
Balu
Christian hat teilweise Recht.
Die Inhalte von geschlossenen Rubriken kann man nicht anzeigen lassen, wenn man nicht eingeloggt ist (ein Login im Adminbereich zaehlt als eingeloggt).
Bei personalisierten Rubriken kann man tatsaechlich auf den Detailtext eines Artikels zugreifen, wenn man dessen ID erraet.
Das Problem liegt "im Detail" in der Datei _includesite/i_detail.php:
Die Zeile 35
Code: Alles auswählen
<?php
if ($Rubric_secure==1) {
?>
Code: Alles auswählen
<?php
if ($cpoRubric['seclevel']==SECLEVEL_PERSONALIZED) {
?>
Danke fuer den Hinweis, Christian.
Balu
So ganz kann mich der Lösungsansatz von Balu nicht zufriedenstellen. Diese Lösung funktioniert nur solange auch die (richtige) Rubrik übergeben wird. Gibt der Benutzer in seiner Adresszeile eine andere Rubrik an, d.h. eine Artikel-Nr. aus dem personalisierten oder geschlossenen Bereich und eine Rubrik, die öffentlich ist oder gar keine Rubrik, sind die nicht-öffentlichen Detailseiten weiterhin zugänglich. Also scheint mir das Problem mit dieser Korrektur noch nicht wirklich gelöst zu sein und mein anfangs geschildertes Problem weiterhin zu bestehen.
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Hi Christian,
Du hast natuerlich Recht. Die Idee hierzu war, dass man auch Artikel in anderem Kontext / Layout anzeigen lassen kann, indem man eine andere Rubrik waehlt. Leider fuehrt das zu dem von Dir beschriebenen Problem.
Wir haben verschiedene Methoden probiert und werden eine davon in die 4.0.3a einbringen.
Die Loesung besteht in einer kleinen Aenderung der _includesite/i_detail.php (Zeilen 69ff):
Jetzt wird der Artikel nur noch angezeigt, wenn auch die Rubrik-ID stimmt.
Balu
Du hast natuerlich Recht. Die Idee hierzu war, dass man auch Artikel in anderem Kontext / Layout anzeigen lassen kann, indem man eine andere Rubrik waehlt. Leider fuehrt das zu dem von Dir beschriebenen Problem.
Wir haben verschiedene Methoden probiert und werden eine davon in die 4.0.3a einbringen.
Die Loesung besteht in einer kleinen Aenderung der _includesite/i_detail.php (Zeilen 69ff):
Code: Alles auswählen
$query = "SELECT rubric_id, commentary, verfallsdatum, templates_id, nr, idx, email, autor, pub_datum, titel, initial, freigabe, changer "
."FROM ".CPO_NEWS." "
."WHERE nr=".$_GET['nr']." "
."AND (".$auth_string.") "
."AND rubric_id=".(int)$cpoRubric['id']." "; // neu
Balu