Geschlossene Rubriken für alle Benutzergruppen lesbar!!!

Fragen zur Implementierung und/oder Anpassung von ConPresso 4 werden in diesem Forum diskutiert.
Antworten
Benutzeravatar
hscha
ConPresso-Experte
Beiträge: 712
Registriert: 22.02.2006 22:00
Wohnort: Berlin
Hat sich bedankt: 216 Mal
Danksagung erhalten: 25 Mal
Kontaktdaten:

Geschlossene Rubriken für alle Benutzergruppen lesbar!!!

Beitrag von hscha »

Liebes ConPresso-Team,

ich bin heute durch Zufall auf folgendes Sicherheitsloch gestoßen:
Auf meiner Schulwebseite gibt es einen Schüler-Redaktionsbereich, in dem Schüler/-innen als Redakteur arbeiten. Die zugeordnete Gruppe ist "Schülerredaktion".
Außerdem gibt es einen geschlossenen Mitarbeiterbereich, der nur für die Gruppe "Mitarbeiter" lesbar sein soll.
Ist nun ein Schüler der Gruppe "Schülerredaktion" eingeloggt, so kann er ohne Probleme auf alle geschlossenen Rubriken zugreifen, obwohl er keine Leseberechtigung hat.
Ich habe den Schülerzugang zunächst gecancelt, bis das Problem gelöst ist.
Ich benutze die CPO-Version 4.1.5
Ist das Problem bei euch bekannt?
Über einen Tipp zur Abhilfe bin ich sehr dankbar!!!

Grüße aus Berlin von
H.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7360
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ich spreche jetzt mal völlig unreflektiert, was mir dazu einfällt:
... in dem Schüler/-innen als Redakteur arbeiten.
Meiner Meinung nach sind Redakteure immer Benutzer mit Lesezugriff auf alle Rubriken.
Deren Rechte an Rubriken lauten: Erstellen Bearbeiten Upload Freigabe - von Lesen oder Nicht-Lesen ist da gar nicht die Rede!
Nur bei Mitgliedern schließt eine fehlende Gruppenzugehörigkeit das Lesen einer Rubrik aus.

Redakteure sind nun mal die Lieferanten für die Inhalte der Webseite und sollen daher wissen, was auf der Webseite steht, damit sie nicht z.B. einen Artikel erfassen, den jemand anders bereits geschrieben hat.

Das wäre in einer personalsierten Rubrik anders, wo die Artikel selbst der Benutzergruppe zugeordnet wären.

In _include/secure.php könnte man die Zeile

Code: Alles auswählen

if ($usergroup_OK || $_SESSION['SID_user']['admin']) return;
umschreiben zu

Code: Alles auswählen

if ($usergroup_OK) return;
Dann können nur noch Redakteure (und Admins&Co) mit der entsprechenden Gruppenzugehörigkeit die Seiten sehen.
Das ist aber nicht im Sinne eines Redaktionssystems, weil nun selbst Admins, Chefredakteure und Superuser nur noch das lesen können, was von ihrer Benutzergruppe geschrieben wurde, da jeder Benutzer nur einer(!) Gruppe angehören kann.

Was Du da realisieren wolltest ist eher ein Merkmal von Forensystemen, wo es genau diese Art der Rechtevergabe gibt.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
hscha
ConPresso-Experte
Beiträge: 712
Registriert: 22.02.2006 22:00
Wohnort: Berlin
Hat sich bedankt: 216 Mal
Danksagung erhalten: 25 Mal
Kontaktdaten:

Beitrag von hscha »

Auch, wenn es vllt. nicht so gedacht ist, so ist es genau das, was ich brauche! Die Schülerredakteure sollen halt die internen Infos für die Lehrer nicht lesen können ;-).
Ansonsten müsste man die Systeme wahrscheinlich ganz trennen und ein Extra-CMS für die Schülerzeitung laufen lassen.
Vielen Dank, Markus!
Antworten