WBCE CMS – Way Better Content Editing.
You are not logged in.
Pages: 1
Entweder mache ich etwas falsch, oder es ist eine "Sicherheitslücke"
Wenn ich einstelle, dass ein sich registrierender User einen persönlichen Ordner bekommt, muss ich die Medien freischalten.
Dann muss ich dem User einen Ordner zuweisen, ansonsten hat er Zugriff auf ALLE Medien.
Besser wäre es, dem Usee bei der Registration automatisch genau diese Berechtigung NICHT zu erteilen.
Warum? Wenn die Zuweisung eines Ordners übersieht, hat dieser User automatisch Zugriff auf alle Medien.
Ich verstehe den Vorgang, jedoch finde ich das aus Sicherheitsgründen eher problematisch.
Auf einer Meiner Seiten habe ich das jetzt so gelöst, dass es den Ordner media/user/none.gibt, den ich zuweisen, solange der User keinen eigenen Unterordner hat.
Entweder sehe ich oder mache ich das falsch, aber so sollte das ja nicht sein....
Last edited by berny (05.11.2024 14:02:28)
Offline
siehe https://help.wbce.org/pages/de/das-back … tionen.php
Auf die Besucher der Seite im Frontend hat diese Einstellung keine Auswirkung. D.h. Bilder und Dokumente, die in persönlichen Ordnern von Benutzern gespeichert sind, sind im Frontend für alle nicht angemeldeten Besucher sowie alle anderen Benutzer erreichbar.
Benutzer, denen kein persönlicher Ordner zugewiesen wurde, haben Zugriff auf alle Inhalte des Medien-Verzeichnisses, auch die persönlichen Ordner von anderen Benutzern.
das ist also zwar nicht unbedingt das optimale, aber das normale Verhalten, kein Bug/Sicherheitslücke.
Beachte bitte insbesondere den Hinweis, dass sich das nur für das Backend auswirkt - soll also wohl im wesentlichen verhindern, dass User A dem User B Dateien weglöscht o.ä.
Last edited by florian (05.11.2024 14:10:07)
Sorgen sind wie Nudeln: man macht sich meist zu viele.
Offline
Das letztere meinte ich ja.
Es wäre ja idealer, wenn man zumindest den Usern einen Unterordner bei der Erstellung der Gruppe vorgeben könnte, dann würde man sich das andere Procedere ersparen.
Derzeit ist man gezwungen, bei jedem User das manuell nachzustellen.
Ich habe das so gelöst: User meldet sich an, kommt in die Gruppe Registriert , diese hat keine Medienrechte.
Dann schalte ich den User frei, erstellen ei en persönlichen Ordner (oder auch nicht) und wähle entsprechende Gruppen aus.
Dann muss ich dem User das Recht für den erstellten Ordner (oder einen anderen "allgemein" Orner) erstellen.
Das ist etwas kompliziert.
Das "Problem" liegt eigentlich nur daran, dass der User bei Aktivierung keines persönlichen Ordners Zugriff auf alles hat.
Ev könnte man soetwas in den nächsten Releases bedenken.
Last edited by berny (06.11.2024 07:25:52)
Offline
Nur zur Erklärung - WBCE und der Vorläufer WB waren im Grunde nie darauf ausgelegt, dass es viele Backend-User gibt, die ganz unterschiedliche Rechte haben. Das Rechtesystem kam recht spät dazu und war von Anfang an ziemlich rudimentär. In den meisten Fällen gibt es nur eine handvoll Admins, wenn überhaupt - dass es nur einer ist, ist vermutlich die häufigste Variante.
Als Feature-Wunsch finde ich den Gedanken aber gut. Auch wenn ich das voraussichtlich nie brauchen werde.
Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal
Online
berny
Pages: 1