geschlossene Rubriken

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

geschlossene Rubriken

Beitrag von dutch »

Hallo zusammen,

ich habe gerade ein bisschen mit geschlossenen Rubriken experimentiert und gemerkt, dass der Schutz sehr leicht umgangen werden kann. Aber vielleicht liegt es ja auch an einem Fehler meinerseits...?

Was habe ich gemacht:

- Ich hatte bereits eine offene Rubrik namens 'offen' angelegt.
- Diese basiert auf dem Verzeichnis 'dokumente'.
- Dann habe ich eine neue Rubrik namens 'sicher' angelegt und diese als geschlossene Rubrik definiert.
- Diese neue Rubrik basierte ebenfalls auf dem bereits bestehenden Rubrikverzeichnis 'dokumente'.
- Irgendwelche Benutzer mit Zugangsrechten zur geschlossenen Rubrik hatte ich noch nicht angelegt.

Als ich dann getestet habe mit:

Code: Alles auswählen

http://meineDomain.de/dokumente/index.php?rubric=sicher
wurde auch wie erwartet der login Schirm gezeigt. So weit so gut.

Wenn ich aber zuerst die offene Rubrik aufrufe:

Code: Alles auswählen

http://meineDomain.de/dokumente/index.php?rubric=offen
wird diese wie gewünscht gezeigt.

Und wenn ich dann in der Adresszeile das 'offen' in 'sicher' abändere, also
wieder dies daraus mache:

Code: Alles auswählen

http://meineDomain.de/dokumente/index.php?rubric=sicher
komme ich auch in die geschlossene Rubrik, ohne login. Und das, obwohl es nicht einmal einen Benutzer für die Rubrik im System gibt.

Ich habe das Ganze dann nochmal mit einem separaten Rubrikverzeichnis für die geschlossene Rubrik durchgeführt. Aber auch auf diesem Wege konnte ich mühelos ohne Anmeldung in die geschlossene Rubrik kommen, wenn ich zuerst eine nichtgeschlossene Rubrik mit dem Rubrikverzeichnis aufgerufen habe.

Auch weitere Tests mit angelegten Benutzern, die ich mal eingelogt und mal ausgelogt hatte veränderten nichts.
Mit der Änderung in der Adresszeile kam ich immer wieder in die geschlosse Rubrik ohne Anmeldung. Aber wie gesagt nur dann, wenn ich zuvor mit dem betreffenden Rubrikverzeichnis eine nicht geschlossene Rubrik aufgerufen habe.

Mache ich hier etwas falsch? :oops:
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

CPO 4.1.6?
Und Du bist nicht zufällig als Admin eingeloggt?

Dann kann ich es nicht nachvollziehen.

Müsste man mal die Datenbank nach verwaisten Einträgen durchsuchen...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ja, 4.1.6
Und nein, nicht eingeloggt als Admin.

Ich habe inzwischen weiter getestet. Manchmal funktioniert alles wie erwünscht und dann auf einmal wieder nicht...

Ich werde weiter testen und schauen, ob ich noch irgendetwas entdecke.

Noch eine allgemeine Frage:
Wenn man als Admin eingeloggt ist aber nicht Mitglied der betreffenden Gruppe ist. Hat man dann auch Zugang oder nicht?

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ja, Admin darf und sieht alles ;o)

Bei sowas hilft manchmal das Debugging via $varDebug oder Ausgabe der Session via print_r($_SESSION). Sonst kommt man da nie dahinter...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Hi,

wegen des Admins: klar, der darf alles ;)
Ich dachte nur, dass man sich vielleicht selbst (als Admin) bestimmte Inhalte im Frontend ausblenden kann, wenn man sich nicht als Gruppenmitglied einträgt...
Aber das nur am Rande...

Ich habe inzwischen nochmal alle erstellten Testbenutzer und Testgruppen gelöscht. Abgemeldet, cache geleert, Browser Neustart.

Dann wieder:
- Neue Gruppe angelegt
- Neuen Benutzer angelegt
- Den neuen Benutzer NICHT in die Gruppe eingetragen

Sobald ich mich als dieser Benutzer anmelde (er hat Redakteursrechte), kann ich die geschlossene Rubrik sehen...

Wie ginge denn das Debugging mittels $varDebug oder print_r($_SESSION) vonstatten?

Gruß,
dutch :oops:


EDIT:
Habe gerade noch mal getestet.
Ich dachte, vielleicht liegt es daran, dass die erstellte Gruppe kein Mitglied hat. Also habe ich einen zweiten User erstellt und diesen als Mitgleid in die Gruppe eingetragen.
Aber auch dann das gleiche Problem: Wenn ich mich mit dem ersten User anmelde, der kein Mitgleid der Gruppe ist, wird die geschlossene Rubrik angezeigt...
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Menno, sag doch gleich dass das kein Mitglied sondern ein Redakteur ist.
Redakteure* sehen im Frontend auch alles, weil in secure.php folgendes steht:

Code: Alles auswählen

if ($usergroup_OK || $_SESSION['SID_user']['admin']) return;
Also entweder ein Mitglied einer berechtigten Gruppe oder ein Admin-Level ist vorhanden oder zumindest nicht 0.
Ein Redakteur hat schon Level 1.

Du könntest die Zeile aber ändern auf einen höheren Level, also z.B.

Code: Alles auswählen

if ($usergroup_OK || $_SESSION['SID_user']['admin']>1) return;
Hey, Du warst das doch mit dem ich das schon 2011 mal durchgekaut hatte!


*) ein Redakteur hat ja quasi eine Vertrauensstellung vom Admin bekommen und soll ja im Zweifelsfalle auch sehen was andere Redakteure schreiben.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Aha, werde ich gleich mal testen :!:

Ich habe mit dir hier schon so einiges durchgekaut, aber das hier (glaube ich) noch nie, soweit ich weiß. Aber 2011 ist auch schon ne Weile her, wer weiß...

Dass ein (nur) Redakteur automatisch eine geschlossene Rubrik einsehen kann, finde ich jetzt auch nicht völlig logisch :roll:

Aber wenn das die Lösung bringt, bin ich auf jedenfall schon einmal froh!

Vielen Dank!

Gruß,
dutch
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ok, das war dann in der Tat die Lösung des Problems!

Trotzdem (für mich) nicht logisch, dass ein Redakteur automatisch Zugriff auf alle (geschlossenen) Rubriken im Frontend hat. Im backend muss man dem Redakteur doch auch erst für jede Rubrik separat Zugriff geben. Und kann ihm auf diese Weise auch sehr schön den Einblick in Rubriken verwehren, die ihn nichts angehen :wink:

Vielleicht wäre ein Hinweis hierzu im Handbuch ganz hilfreich 8)

Jedenfalls vielen Dank für die Hilfe, Markus!

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Man darf dabei nie vergessen dass ein CMS ein System zum Veröffentlichen und nicht unbedingt zum Verheimlichen von Informationen ist.

Die Rechtevergabe für Redakteure soll sie ja eher vom unbefugten Löschen, Verschieben und Ändern abhalten sowie durch die reduzierte Auswahl die Übersicht erleichtern.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Naja, wenn ein CMS nur zum Veröffentlichen von Inhalten da wäre, gäbe es vermutlich keine geschlossenen Rubriken :wink:

Und ich könnte den Gedanken eines Firmenchefs nachvollziehen, der zwar einige Mitarbeiter als Redakteure die Website up-to-date halten lassen möchte, andererseits einen Teil der Website ausschließlich, nennen wir es mal dem 'oberen Managment' zugänglich machen möchte.

Aber genug der Haarspaltereien :lol:

Ich bin ja schon sehr zufrieden, dass es jetzt so funktioniert und man im Bedarfsfall sogar das System, wie oben beschrieben, über den Admin-Level anpassen könnte.

Auf jeden Fall wieder was gelernt!

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Da befinden wir uns aber auf einem ganz anderen Level der Anforderungen :wink:

Und selbst dann könnte man einfach Conpresso mehrfach installieren (so wie in der Lizenz beschrieben) und damit quasi interne Sites betreiben, so läuft das ja auch z.B. bei SharePoint.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Den Level finde ich eigentlich noch nicht einmal so extrem hoch.

Auch wenn ich nur ein Ein-Mann/Frau-Unternehmen wäre und z.B. einen Praktikanten habe, der die Website pflegen soll, möchte ich doch nicht, dass der Praktikant gleich vollen Einblick in meinen geschützten Kundenbereich hat.

Aber eine zweite Installation wäre sicher auch keine schlechte Idee :wink:
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Wenn Du das weiter verfolgen willst dann kannst Du auch mal die Zeile zu

Code: Alles auswählen

if ($usergroup_OK && $_SESSION['SID_user']['admin']) return;
ändern, dann müsste der Redakteur Gruppenmitglied sein, allerdings sind dann Mitglieder außen vor.

Oder einfach

Code: Alles auswählen

if ($usergroup_OK) return;
dann zählt nur noch die Gruppe.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Danke für den Tipp!

Für das, was ich momentan benötige, ist, denke ich, die normale Konfiguration ausreichend. Also mit normalen Mitgliedern in Gruppen.
Mir ging es eigentlich nur um die Logik dahinter :wink:

Aber gut zu wissen, dass es anpasstbar ist bei Bedarf.
Antworten