News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 3
Seite [1]
worstbull


King for a day





Beiträge: 222
# Thema - 28.01.2007 um 09:28 Uhr
Ich habe heute meine halbe Nacht dabei verbracht die Zugriffsrechte von einzelnen Module durchzuprobieren habe bei NEUNUNDNEUNZIG PROZENT aller Module Mängel gefunden.

Ich habe es mir gespart, dieses 'LOG' hier irgendwie zu gliedern. Wenn es euch interessiert werdet ihr es wohl selber in eine für euch LESBARE ORDNUNG bringen...


Liebe Grüße,

Martin Fürholz

LOGBEGINN

Bei Recht 'BEARBEITEN': fremder Beitrag von einem Benutzer mit höherer Zugriffstufe erhält die Meldung zum Thread 'nicht löschbar', kann eigenen Kommentar nicht löschen ABER bearbeiten

Mit Recht 'ENTFERNEN': kann fremde Beiträge und Threads löschen, sogar von Leuten mit höheren Zugriffsrechten


Ich weiß, das ist ein bisschen mühsam zu testen, weil man am besten ein paar Testbenutzer anlegt, und mit den verschiedenen Zugriffsrechten herumprobiert, aber wenn man das nicht testet, ist es verlorene Zeit für ein CMS überhaupt entworfen zu werden!


Es gibt keine Einstellung für Mitglieder, die ihnen das Löschen von Comments erlaubt, ohne dass sie auch Comments von Fremden löschen können!!!

Aber leider hat diesen Hinweis bis jetzt keiner Verstanden - ich habe das schon dreimal gepostet, doch dieses Problem wurde dreimal gekennzeichnet als "geclosed"...

Mit RECHT 'ENTFERNEN' kann das Mitglied Kommentare von Fremden mit gleich hohem Zugriffsrecht 'Mitglied' und Kommentare von Fremden mit höherem Zugriffsrecht 'Clanleader' ebenfalls löschen! (Forum-recht 'ERSTELLEN') UND THREADS von Leuten mit HÖHEREN Zugriffsrechten kann das Mitglied da AUCH löschen!

Mit Recht 'BEARBEITEN' kann das Mitglied Kommentare von Fremden nicht löschen, auch nicht bearbeiten, und Threads von Fremden mit höherem Zugriffsrecht können AUCH NICHT bearbeitet werden mit folgender Einstellung für Threads: 'ERSTELLEN'


Es gibt keine korrekte Einstellung um eigene Sachen entfernen zu dürfen, und andere der selben Zugriffsstufe nicht. Zum Beispiel beim Recht 'ENTFERNEN' kann ein Mitglied die Benutzer-Seite (per URL) aufrufen und alle Benutzer mit weniger oder maximal der selben Zugriffsstufe löschen.
Aber mit dem Recht 'BEARBEITEN' kann er seine eigene nicht mehr löschen.
Das ist für das Forum genauso, ist aber falsch eingestellt. Weil meine Member sollen ihre eigenen Beiträge löschen dürfen. Aber GAR KEINE anderen.

Ergo kann ich meinen Mitgliedern beim derzeitigen Stand der Technik gerade einmal erlauben, bei ein paar wenigen privaten Sachen wie der Mailbox oder der Benutzergallery, Einträge zu löschen, weil überall anders funktioniert die Einstellung nicht/das heisst wenn sie wo was löschen dürfen, dann alles... auch Dinge von Anderen. Bei manchen Punkten nur sofern die Anderen keinen höheren Zugriff haben.



Übrigens: wenn ich die Seite http://austrianfighter.fuerholz.org/index.php?mod=modules&action=view&dir=usersgallery und andere von der Zugriffs-Verwaltung aus aufrufe, bekomme ich selbst als ADMIN immer angezeigt: Fehler, die Seite erfordert eine höhere Berechtigung.
Auch hier dasselbe: http://austrianfighter.fuerholz.org/index.php?mod=modules&action=view&dir=articles


Und es gibt zum Beispiel durch diesen Bug auch keine Möglichkeit aus dem Clan auszutreten. Würde ich das per Zugriffsrecht ermöglichen, könnte ein Benutzer alle Mitglieder seiner Squads durch den Bug auch entlassen...


Wenn ich die Zugriffsrechte meines 'Mitglieds' für KONTAKT auf 'ENTFERNEN' setze, kann er manuell die URL http://austrianfighter.fuerholz.org/index.php?mod=contact&action=manage aufrufen und nicht nur seine Kontakte bei den Einstellungen, sondern zusätzlich auch DAS IMPRESSUM bearbeiten.
Wenn ich die selben Zugriffsrechte für KONTAKT wiederum auf 0-GESPERRT setze, kann er das Impressum trotzdem aufrufen.
Und die 'KONTAKTE' in seiner Buddys-Verwaltung kann er trotzdem löschen!




Vielleicht kann man zwecks Übersichtlichkeit diejenigen Punkte, bei denen der Benutzer sowieso (rein technisch/praktisch) nur seine eigenen Einträge bearbeiten kann bei der Zugriffsverwaltung zusammen schreiben: Buddylist, Computer, Mailbox, Benutzer-Gallery, usw



Und vielleicht kann man bestimmte, wichtige Funktionen einfach nur mehr anzeigen lassen dürfen, wenn das VERWALTUNGs Recht
gesetzt ist. Denn obwohl meine Gruppe 'MITGLIED' in der Verwaltung keine 'VERWALTUNG's Rechte besitzt kann er trotzdem verschiedene Einstellungen vornehmen wenn A) das spezielle Recht vergeben wird und B) er den Browser direkt per URL zur Seite lenkt - so zum Beispiel wie weiter oben beschrieben beim Impressum und Anderem.


So, weiter: was zum Kuckuck ist ein Artikel, und wieso gibt es weder Beschreibung noch FAQ wo erklärt wird was ein Artikel, was ein Kommentar, was ein Impressum, was ein Mitglied, was ein Zugriffsrecht, was eine Verwaltung, was eine Mailbox und was eine Buddylist ist.
Wenn ihr eine Gegenleistung bringt, kann ich euch solche FAQs gerne schreiben

Ausserdem kann ich wenn ich das Zugriffsrecht auf 'Bearbeiten' setze als Mitglied, wenn ich per URL dorthin navigiere fremde ARTIKEL bearbeiten.
Nebenbei: Bei Artikel-MANAGE (bei Bearbeiten eines Artikels) steht unten wieder ein {lang:new_date} auf der Seite...
Mein User mit dem Zugriff der Gruppe 'Benutzer' kann hier schon wieder fremde Artikel entfernen...
Mit dem Zugriff 'Erweitert lesen' kann mein Benutzer die Artikel-Management Seite nicht anzeigen.
Mit dem Zugriff 'Erstellen' kann er zwar die http://austrianfighter.fuerholz.org/index.php?mod=articles&action=manage Seite anzeigen, aber er kann GAR KEINE Artikel bearbeiten.
Mit dem Zugriff 'Bearbeiten' kann er fremde Artikel auch bearbeiten. Auch von fremden Benutzern mit höherer Zugriffsberechtigung.
Das heisst für uns SCHON WIEDER, dass ein Benutzer ENTWEDER KEINE Artikel bearbeiten kann, oder aber ALLE Artikel bearbeiten kann.

SOLANGE die fremden Artikeln nicht von Benutzern höherer Zugriffs-Recht-Gattung erstellt wurden.
(Mein Zugang 'xxx' war Benutzer und hatte das Artikel - Recht 'Bearbeiten' und konnte den Artikel von Benutzer 'yyy' mit Artikel-Recht 'Erstellen' sehr wohl auch bearbeiten)
Dieser Umstand ist für die armen Artikelchen diskriminierend, weil sie nur von Superadmins verwaltet werden können... also von denjenigen die ohne Einschränkung alle Artikel aller Benutzer verwalten können...

weiter...

Naja, man sollte bei all diesen Punkten das Recht dazu nehmen 'EIGENE BEARBEITEN' und 'EIGENE LÖSCHEN'.
Da bei sehr vielen Modulen das Bearbeiten nicht oder zu allgemein formuliert ist. Es ist inakzeptabel dem Benutzer das Bearbeiten nur zu erlauben, wenn er fremde Sachen auch bearbeiten darf...

Ausserdem darf der Benutzer nicht Sachen der Verwaltung per URL öffnen können, wenn er kein Recht für 'Verwaltung' zugeteilt bekommen hat.

Und abschliessend: Auf die Tatsache, dass ein Benutzer mit dem Recht 'Erweitertes Lesen' bereits KOMMENTARE ERSTELLEN darf, habe ich bereits mehrfach hingewiesen...


Ganz allgemein hatte und habe ich wahnsinnige Probleme damit die passenden Zugriffsregelungen für die vielen Zugriffs-Gruppen einzustellen, ich habe mir mit folgender einfachen Regel bei dem Einrichten der Zugriffsrechte geholfen:

WAS DER BENUTZER DARF:
Alles Allgemeine ähnlich dem BANNER kann er ERSTELLEN,
PRIVATES wie MAILBOX darf er LÖSCHEN,
sensibles wie FAQ darf er ERWEITERT LESEN,
alles gemeinschaftliche wie Forum und Kommentare darf er maximal BEARBEITEN.


MF


------------------
Inaktiv
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 1 - 28.01.2007 um 18:32 Uhr
also da ich wie in anderen threads schon geschrieben, nicht so lange vorm pc sitzen kann, weils net mein eigener ist hab ich nur das erste 1/4 (schätze ich mal) von deinem beitrag gelesen.

-die Zugriffsrechte sind im prinziep "falsch" benannt, zumindest an einigen stellen trifft die beschriftung nicht auf die richtige berechtigung zu
-Im ganzen Access-system gibt es kein trennung von eigenem und fremden, sprich "bearbeiten" bedeutet einfach bearbeiten von allem egal wers erstellt hat.

Insofern ist das, was du warscheinlich in deinem post beschreibst kein wirklicher fehler, da es bekannt und teilweise beabsichtigt oder nicht gut genug überdacht ist.


------------------
www.laszlokorte.de

Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 2 - 29.01.2007 um 01:03 Uhr
lol, danke für die eifrigkeit

ich überleg mir was wir da machen aber denke mal dass wir das einfach umbenennen oder so


Inaktiv
|
worstbull
Thread-Ersteller


King for a day





Beiträge: 222
# Antwort: 3 - 01.02.2007 um 11:13 Uhr
Ist es für euch ein grosser Aufwand, der Gruppe - sagen wir Mal - 'Mitglieder' eine Möglichkeit zu geben, ihre eigenen Kommentare (und maximal ihre eigenen und keine anderen) wieder zu entfernen?

Beziehungsweise: Wie kann ich das selbst einbauen?
Genügt da eine zusätliche Abfrage in einer delete.php?

MARTIN


------------------


Inaktiv
|
Antworten: 3
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo