ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
Geschlossene Rubriken für alle Benutzergruppen lesbar!!!

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Implementierung/Anpassung ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
hscha
ConPresso-Checker


Anmeldungsdatum: 22.02.2006
Beiträge: 497
Wohnort: Berlin

BeitragVerfasst am: 13.03.2014 19:10    Titel: Geschlossene Rubriken für alle Benutzergruppen lesbar!!! Antworten mit Zitat

Liebes ConPresso-Team,

ich bin heute durch Zufall auf folgendes Sicherheitsloch gestoßen:
Auf meiner Schulwebseite gibt es einen Schüler-Redaktionsbereich, in dem Schüler/-innen als Redakteur arbeiten. Die zugeordnete Gruppe ist "Schülerredaktion".
Außerdem gibt es einen geschlossenen Mitarbeiterbereich, der nur für die Gruppe "Mitarbeiter" lesbar sein soll.
Ist nun ein Schüler der Gruppe "Schülerredaktion" eingeloggt, so kann er ohne Probleme auf alle geschlossenen Rubriken zugreifen, obwohl er keine Leseberechtigung hat.
Ich habe den Schülerzugang zunächst gecancelt, bis das Problem gelöst ist.
Ich benutze die CPO-Version 4.1.5
Ist das Problem bei euch bekannt?
Über einen Tipp zur Abhilfe bin ich sehr dankbar!!!

Grüße aus Berlin von
H.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7009

BeitragVerfasst am: 13.03.2014 19:52    Titel: Antworten mit Zitat

Ich spreche jetzt mal völlig unreflektiert, was mir dazu einfällt:

Zitat:
... in dem Schüler/-innen als Redakteur arbeiten.


Meiner Meinung nach sind Redakteure immer Benutzer mit Lesezugriff auf alle Rubriken.
Deren Rechte an Rubriken lauten: Erstellen Bearbeiten Upload Freigabe - von Lesen oder Nicht-Lesen ist da gar nicht die Rede!
Nur bei Mitgliedern schließt eine fehlende Gruppenzugehörigkeit das Lesen einer Rubrik aus.

Redakteure sind nun mal die Lieferanten für die Inhalte der Webseite und sollen daher wissen, was auf der Webseite steht, damit sie nicht z.B. einen Artikel erfassen, den jemand anders bereits geschrieben hat.

Das wäre in einer personalsierten Rubrik anders, wo die Artikel selbst der Benutzergruppe zugeordnet wären.

In _include/secure.php könnte man die Zeile
Code:
if ($usergroup_OK || $_SESSION['SID_user']['admin']) return;

umschreiben zu
Code:
if ($usergroup_OK) return;

Dann können nur noch Redakteure (und Admins&Co) mit der entsprechenden Gruppenzugehörigkeit die Seiten sehen.
Das ist aber nicht im Sinne eines Redaktionssystems, weil nun selbst Admins, Chefredakteure und Superuser nur noch das lesen können, was von ihrer Benutzergruppe geschrieben wurde, da jeder Benutzer nur einer(!) Gruppe angehören kann.

Was Du da realisieren wolltest ist eher ein Merkmal von Forensystemen, wo es genau diese Art der Rechtevergabe gibt.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
hscha
ConPresso-Checker


Anmeldungsdatum: 22.02.2006
Beiträge: 497
Wohnort: Berlin

BeitragVerfasst am: 14.03.2014 08:22    Titel: Antworten mit Zitat

Auch, wenn es vllt. nicht so gedacht ist, so ist es genau das, was ich brauche! Die Schülerredakteure sollen halt die internen Infos für die Lehrer nicht lesen können Wink.
Ansonsten müsste man die Systeme wahrscheinlich ganz trennen und ein Extra-CMS für die Schülerzeitung laufen lassen.
Vielen Dank, Markus!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Implementierung/Anpassung ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen