ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
geschlossene Rubriken

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 09:51    Titel: geschlossene Rubriken Antworten mit Zitat

Hallo zusammen,

ich habe gerade ein bisschen mit geschlossenen Rubriken experimentiert und gemerkt, dass der Schutz sehr leicht umgangen werden kann. Aber vielleicht liegt es ja auch an einem Fehler meinerseits...?

Was habe ich gemacht:

- Ich hatte bereits eine offene Rubrik namens 'offen' angelegt.
- Diese basiert auf dem Verzeichnis 'dokumente'.
- Dann habe ich eine neue Rubrik namens 'sicher' angelegt und diese als geschlossene Rubrik definiert.
- Diese neue Rubrik basierte ebenfalls auf dem bereits bestehenden Rubrikverzeichnis 'dokumente'.
- Irgendwelche Benutzer mit Zugangsrechten zur geschlossenen Rubrik hatte ich noch nicht angelegt.

Als ich dann getestet habe mit:
Code:
http://meineDomain.de/dokumente/index.php?rubric=sicher


wurde auch wie erwartet der login Schirm gezeigt. So weit so gut.

Wenn ich aber zuerst die offene Rubrik aufrufe:
Code:
http://meineDomain.de/dokumente/index.php?rubric=offen


wird diese wie gewünscht gezeigt.

Und wenn ich dann in der Adresszeile das 'offen' in 'sicher' abändere, also
wieder dies daraus mache:
Code:
http://meineDomain.de/dokumente/index.php?rubric=sicher


komme ich auch in die geschlossene Rubrik, ohne login. Und das, obwohl es nicht einmal einen Benutzer für die Rubrik im System gibt.

Ich habe das Ganze dann nochmal mit einem separaten Rubrikverzeichnis für die geschlossene Rubrik durchgeführt. Aber auch auf diesem Wege konnte ich mühelos ohne Anmeldung in die geschlossene Rubrik kommen, wenn ich zuerst eine nichtgeschlossene Rubrik mit dem Rubrikverzeichnis aufgerufen habe.

Auch weitere Tests mit angelegten Benutzern, die ich mal eingelogt und mal ausgelogt hatte veränderten nichts.
Mit der Änderung in der Adresszeile kam ich immer wieder in die geschlosse Rubrik ohne Anmeldung. Aber wie gesagt nur dann, wenn ich zuvor mit dem betreffenden Rubrikverzeichnis eine nicht geschlossene Rubrik aufgerufen habe.

Mache ich hier etwas falsch? Embarassed
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 20.02.2017 11:17    Titel: Antworten mit Zitat

CPO 4.1.6?
Und Du bist nicht zufällig als Admin eingeloggt?

Dann kann ich es nicht nachvollziehen.

Müsste man mal die Datenbank nach verwaisten Einträgen durchsuchen...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 12:13    Titel: Antworten mit Zitat

Ja, 4.1.6
Und nein, nicht eingeloggt als Admin.

Ich habe inzwischen weiter getestet. Manchmal funktioniert alles wie erwünscht und dann auf einmal wieder nicht...

Ich werde weiter testen und schauen, ob ich noch irgendetwas entdecke.

Noch eine allgemeine Frage:
Wenn man als Admin eingeloggt ist aber nicht Mitglied der betreffenden Gruppe ist. Hat man dann auch Zugang oder nicht?

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 20.02.2017 12:45    Titel: Antworten mit Zitat

Ja, Admin darf und sieht alles ;o)

Bei sowas hilft manchmal das Debugging via $varDebug oder Ausgabe der Session via print_r($_SESSION). Sonst kommt man da nie dahinter...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 13:01    Titel: Antworten mit Zitat

Hi,

wegen des Admins: klar, der darf alles Wink
Ich dachte nur, dass man sich vielleicht selbst (als Admin) bestimmte Inhalte im Frontend ausblenden kann, wenn man sich nicht als Gruppenmitglied einträgt...
Aber das nur am Rande...

Ich habe inzwischen nochmal alle erstellten Testbenutzer und Testgruppen gelöscht. Abgemeldet, cache geleert, Browser Neustart.

Dann wieder:
- Neue Gruppe angelegt
- Neuen Benutzer angelegt
- Den neuen Benutzer NICHT in die Gruppe eingetragen

Sobald ich mich als dieser Benutzer anmelde (er hat Redakteursrechte), kann ich die geschlossene Rubrik sehen...

Wie ginge denn das Debugging mittels $varDebug oder print_r($_SESSION) vonstatten?

Gruß,
dutch Embarassed


EDIT:
Habe gerade noch mal getestet.
Ich dachte, vielleicht liegt es daran, dass die erstellte Gruppe kein Mitglied hat. Also habe ich einen zweiten User erstellt und diesen als Mitgleid in die Gruppe eingetragen.
Aber auch dann das gleiche Problem: Wenn ich mich mit dem ersten User anmelde, der kein Mitgleid der Gruppe ist, wird die geschlossene Rubrik angezeigt...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 20.02.2017 15:45    Titel: Antworten mit Zitat

Menno, sag doch gleich dass das kein Mitglied sondern ein Redakteur ist.
Redakteure* sehen im Frontend auch alles, weil in secure.php folgendes steht:
Code:
if ($usergroup_OK || $_SESSION['SID_user']['admin']) return;


Also entweder ein Mitglied einer berechtigten Gruppe oder ein Admin-Level ist vorhanden oder zumindest nicht 0.
Ein Redakteur hat schon Level 1.

Du könntest die Zeile aber ändern auf einen höheren Level, also z.B.
Code:
if ($usergroup_OK || $_SESSION['SID_user']['admin']>1) return;


Hey, Du warst das doch mit dem ich das schon 2011 mal durchgekaut hatte!


*) ein Redakteur hat ja quasi eine Vertrauensstellung vom Admin bekommen und soll ja im Zweifelsfalle auch sehen was andere Redakteure schreiben.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 16:18    Titel: Antworten mit Zitat

Aha, werde ich gleich mal testen Exclamation

Ich habe mit dir hier schon so einiges durchgekaut, aber das hier (glaube ich) noch nie, soweit ich weiß. Aber 2011 ist auch schon ne Weile her, wer weiß...

Dass ein (nur) Redakteur automatisch eine geschlossene Rubrik einsehen kann, finde ich jetzt auch nicht völlig logisch Rolling Eyes

Aber wenn das die Lösung bringt, bin ich auf jedenfall schon einmal froh!

Vielen Dank!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 17:20    Titel: Antworten mit Zitat

Ok, das war dann in der Tat die Lösung des Problems!

Trotzdem (für mich) nicht logisch, dass ein Redakteur automatisch Zugriff auf alle (geschlossenen) Rubriken im Frontend hat. Im backend muss man dem Redakteur doch auch erst für jede Rubrik separat Zugriff geben. Und kann ihm auf diese Weise auch sehr schön den Einblick in Rubriken verwehren, die ihn nichts angehen Wink

Vielleicht wäre ein Hinweis hierzu im Handbuch ganz hilfreich Cool

Jedenfalls vielen Dank für die Hilfe, Markus!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 20.02.2017 17:56    Titel: Antworten mit Zitat

Man darf dabei nie vergessen dass ein CMS ein System zum Veröffentlichen und nicht unbedingt zum Verheimlichen von Informationen ist.

Die Rechtevergabe für Redakteure soll sie ja eher vom unbefugten Löschen, Verschieben und Ändern abhalten sowie durch die reduzierte Auswahl die Übersicht erleichtern.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 20.02.2017 20:45    Titel: Antworten mit Zitat

Naja, wenn ein CMS nur zum Veröffentlichen von Inhalten da wäre, gäbe es vermutlich keine geschlossenen Rubriken Wink

Und ich könnte den Gedanken eines Firmenchefs nachvollziehen, der zwar einige Mitarbeiter als Redakteure die Website up-to-date halten lassen möchte, andererseits einen Teil der Website ausschließlich, nennen wir es mal dem 'oberen Managment' zugänglich machen möchte.

Aber genug der Haarspaltereien Laughing

Ich bin ja schon sehr zufrieden, dass es jetzt so funktioniert und man im Bedarfsfall sogar das System, wie oben beschrieben, über den Admin-Level anpassen könnte.

Auf jeden Fall wieder was gelernt!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 20.02.2017 21:20    Titel: Antworten mit Zitat

Da befinden wir uns aber auf einem ganz anderen Level der Anforderungen Wink

Und selbst dann könnte man einfach Conpresso mehrfach installieren (so wie in der Lizenz beschrieben) und damit quasi interne Sites betreiben, so läuft das ja auch z.B. bei SharePoint.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 21.02.2017 08:36    Titel: Antworten mit Zitat

Den Level finde ich eigentlich noch nicht einmal so extrem hoch.

Auch wenn ich nur ein Ein-Mann/Frau-Unternehmen wäre und z.B. einen Praktikanten habe, der die Website pflegen soll, möchte ich doch nicht, dass der Praktikant gleich vollen Einblick in meinen geschützten Kundenbereich hat.

Aber eine zweite Installation wäre sicher auch keine schlechte Idee Wink
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6954

BeitragVerfasst am: 21.02.2017 08:45    Titel: Antworten mit Zitat

Wenn Du das weiter verfolgen willst dann kannst Du auch mal die Zeile zu
Code:
if ($usergroup_OK && $_SESSION['SID_user']['admin']) return;

ändern, dann müsste der Redakteur Gruppenmitglied sein, allerdings sind dann Mitglieder außen vor.

Oder einfach
Code:
if ($usergroup_OK) return;

dann zählt nur noch die Gruppe.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 477

BeitragVerfasst am: 21.02.2017 09:06    Titel: Antworten mit Zitat

Danke für den Tipp!

Für das, was ich momentan benötige, ist, denke ich, die normale Konfiguration ausreichend. Also mit normalen Mitgliedern in Gruppen.
Mir ging es eigentlich nur um die Logik dahinter Wink

Aber gut zu wissen, dass es anpasstbar ist bei Bedarf.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen