WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 05.11.2024 14:00:44

berny
Member

User Berechtigungs Problem

Entweder mache ich etwas falsch, oder es ist eine "Sicherheitslücke"

Wenn ich einstelle, dass ein sich registrierender User einen persönlichen Ordner bekommt, muss ich die Medien freischalten.
Dann muss ich dem User einen Ordner zuweisen, ansonsten hat er Zugriff auf ALLE Medien.

Besser wäre es, dem Usee bei der Registration automatisch genau diese Berechtigung NICHT zu erteilen.

Warum? Wenn die Zuweisung eines Ordners übersieht, hat dieser User automatisch Zugriff auf alle Medien.

Ich verstehe den Vorgang, jedoch finde ich das aus Sicherheitsgründen eher problematisch.

Auf einer Meiner Seiten habe ich das jetzt so gelöst, dass es den Ordner media/user/none.gibt, den ich zuweisen, solange der User keinen eigenen Unterordner hat.

Entweder sehe ich oder mache ich das falsch, aber so sollte das ja nicht sein....

Last edited by berny (05.11.2024 14:02:28)

Offline

#2 05.11.2024 14:09:22

florian
Administrator

Re: User Berechtigungs Problem

siehe https://help.wbce.org/pages/de/das-back … tionen.php

Auf die Besucher der Seite im Frontend hat diese Einstellung keine Auswirkung. D.h. Bilder und Dokumente, die in persönlichen Ordnern von Benutzern gespeichert sind, sind im Frontend für alle nicht angemeldeten Besucher sowie alle anderen Benutzer erreichbar.
Benutzer, denen kein persönlicher Ordner zugewiesen wurde, haben Zugriff auf alle Inhalte des Medien-Verzeichnisses, auch die persönlichen Ordner von anderen Benutzern.

das ist also zwar nicht unbedingt das optimale, aber das normale Verhalten, kein Bug/Sicherheitslücke.
Beachte bitte insbesondere den Hinweis, dass sich das nur für das Backend auswirkt - soll also wohl im wesentlichen verhindern, dass User A dem User B Dateien weglöscht o.ä.

Last edited by florian (05.11.2024 14:10:07)


Sorgen sind wie Nudeln: man macht sich meist zu viele.

Offline

#3 06.11.2024 07:24:35

berny
Member

Re: User Berechtigungs Problem

Das letztere meinte ich ja.
Es wäre ja idealer, wenn man zumindest den Usern einen Unterordner bei der Erstellung der Gruppe vorgeben könnte, dann würde man sich das andere Procedere ersparen.
Derzeit ist man gezwungen, bei jedem User das manuell nachzustellen.

Ich habe das so gelöst: User meldet sich an, kommt in die Gruppe Registriert , diese hat keine Medienrechte.
Dann schalte ich den User frei, erstellen ei en persönlichen Ordner (oder auch nicht) und wähle entsprechende Gruppen aus.
Dann muss ich dem User das Recht für den erstellten Ordner (oder einen anderen "allgemein" Orner) erstellen.

Das ist etwas kompliziert.
Das "Problem" liegt eigentlich nur daran, dass der User bei Aktivierung keines persönlichen Ordners Zugriff auf alles hat.

Ev könnte man soetwas in den nächsten Releases bedenken.

Last edited by berny (06.11.2024 07:25:52)

Offline

#4 07.11.2024 16:58:53

webbird
Administrator

Re: User Berechtigungs Problem

Nur zur Erklärung - WBCE und der Vorläufer WB waren im Grunde nie darauf ausgelegt, dass es viele Backend-User gibt, die ganz unterschiedliche Rechte haben. Das Rechtesystem kam recht spät dazu und war von Anfang an ziemlich rudimentär. In den meisten Fällen gibt es nur eine handvoll Admins, wenn überhaupt - dass es nur einer ist, ist vermutlich die häufigste Variante.

Als Feature-Wunsch finde ich den Gedanken aber gut. Auch wenn ich das voraussichtlich nie brauchen werde. wink


Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Online

Liked by:

berny

Board footer

up