Impressum bei gesperrtem User

  • Hallo,


    mir ist gerade aufgefallen, dass wenn ein User gesperrt ist, kann er in der aktuellen WoltLab Suite Core auch das Impressum nicht mehr aufrufen. Ich bin mir da etwas unsicher, ob das so okay ist. Ein Impressum muss doch "leicht erkennbar, unmittelbar erreichbar und ständig verfügbar" sein, oder? Also für mich ist das ein Fehler, dass der gesperrte User auch kein Impressum mehr aufrufen kann.


    Barungar

  • Stimmt,


    ich glaube daran hat bisher keiner gedacht.

    Aber wenn sich der Gesperrte User Abmeldet kann er wieder das Impressum anschauen.


    Aber das ist auch in WFC2.x

    Mit freundlichen Grüßen

    Spielealles

  • Nur er kann sich nicht abmelden... zumindest nicht mit Systemmitteln. Das heißt das WSC hindert den "gesperrten" User aktiv daran das Impressum zu betrachten. Der User kann es nicht aufrufen, und der User kann sich nicht abmelden. Er muss erst im Browser seine Cookies löschen, damit er nicht mehr als "User" erkannt wird, dann kann er es "Gast" aufrufen... das nenne ich nicht unbedingt: unmittelbar erreichbar und ständig verfügbar

  • Für WBB4.1 gibt es dieses Plugin:


    woltlab.com/pluginstore/file/1755/

    Mit freundlichen Grüßen

    Spielealles

  • Es stört mich nicht, dass der gesperrte User sich in einer "Zickmühle" befindet und sich nicht ausloggen, usw. kann. Aber es stört mich, dass er das Impressum nicht aufrufen kann. Meiner Meinung nach muss diese Sperre des Aufrufs von irgendwelchen Elementen des WSC für das Impressum deaktiviert sein; auch ein gesperrter User muss zu jedem Zeitpunkt unkompliziert an das Impressum kommen müssen.

    • Official Post

    Interessanter Weise ist der blockierte Logout kein unmittelbares Feature, sondern ein Seiteneffekt der Implementierung. Die Prüfung auf eine Sperrung zu einem sehr frühen Zeitpunkt im Programmablauf durchgeführt und zwar noch bevor überhaupt die aufgerufene Seite initialisiert, geschweige denn aufgelöst wird.


    Mit anderen Worten ausgedrückt, ist zum Zeitpunkt der Anzeige des Sperrung gar nicht bekannt, welche Seite aufgerufen wurde, da die Ausführung frühzeitig abgebrochen wurde. Den Logout als Ausnahme zu definieren ist somit gar nicht möglich, dafür Bedarf es einer grundlegenden Änderung der Funktionsweise wie die Sperrung durchgesetzt wird.


    Von der Funktionsweise entspricht es aktuell eher einer typischen Sperrung auf Ebene des Webservers auf Basis von .htaccess oder vergleichbarem.

  • Alexander Ebert Und nun? Aus gesichtspuntken der "Rechtssicherheit" finde ich das "Verhalten" des WSC an der Stelle bedenklich... Man kann sich sehr gut auf den Standpunkt stellen, dass doe Software den unmittelbar erreichbaren und ständig verfügbaren Zugriff auf das Impressum aktiv unterbindet!

  • Das Problem nervt mich auch seit einiger Zeit.

    Ich muss dann zahlen wenn ich Abmahnungen bekomme, es wäre sehr nett wenn Sie ein paar Zeilen im Code ändern und es jedem Kunden bereitstellen.

    • Official Post

    Alexander Ebert Und nun? Aus gesichtspuntken der "Rechtssicherheit" finde ich das "Verhalten" des WSC an der Stelle bedenklich... Man kann sich sehr gut auf den Standpunkt stellen, dass doe Software den unmittelbar erreichbaren und ständig verfügbaren Zugriff auf das Impressum aktiv unterbindet!

    Ist dem tatsächlich so? Letztlich ist das Verhalten identisch zu einer Sperre über .htaccess und vergleichbare Vorkehrungen. Das ist jetzt allerdings nur eine logische Folgerung meinerseits und keine anwaltliche Stellungsnahme, wodurch zu mindestens noch ein Fragezeichen im Raum stehen bleibt.


    Ich frage mich gerade, ob ich den Logout nicht auch im Destruktor vom WCF erzwingen kann…


    Edit: Okay, klappt. Ich lasse den Logout nun automatisch erzwingen, man sieht zwar noch die normale Seite mit der Sperrbegründung, ist aber beim nächsten Aufruf wieder ausgelogt. https://github.com/WoltLab/WCF…23f0b18dbeb67e7ea79b1fe9f

    • Official Post

    Was passiert wenn er sich mit den Daten neu einloggt?

    Man wird eingeloggt, sieht den Sperrhinweis und beim nächsten Aufruf ist man wieder ausgeloggt. Der Logout erfolgt in dem Fall ganz am Ende der Verarbeitung, d.h. zu dem Zeitpunkt wird die Seite bereits vollständig dargestellt und es sieht genauso aus, wie wenn man normal eingeloggt ist. Eine andere Lösung gibt es unter den gegebenen Voraussetzungen nicht, da man andernfalls Inkompatibilitäten erwarten müsste.

  • Ist dem tatsächlich so? Letztlich ist das Verhalten identisch zu einer Sperre über .htaccess und vergleichbare Vorkehrungen. Das ist jetzt allerdings nur eine logische Folgerung meinerseits und keine anwaltliche Stellungsnahme, wodurch zu mindestens noch ein Fragezeichen im Raum stehen bleibt.


    Ich bin jetzt auch kein Anwalt... will aber einfach nur "Rechtssicherheit" und Ärger vermeiden... und ja, wenn ich als Anbieter über eine .htaccess den Zugriff auf das Impressum einschränke, dann wiederspricht das in meiner Auffassung auch der gesetzlichen Anforderung. Ein Impressum muss "leicht erkennbar, unmittelbar erreichbar und ständig verfügbar" sein.


    Wenn ich das per .htaccess so mache, dann verhindere ich als Betreiber vorsätzlich die unmittelbare Erreichbarkeit und ständige Verfügbarkeit.
    Da mache ich keinen Unterschied, wer hier die Ursache für die vorsätzliche Behinderung bei frei, unmittelbaren und ständigen Zugriff auf das Impressum ist... also egal ob es das WSC ist oder eine .htaccess; in beiden Fällen wird der User an seinem Zugriff auf das Impressum über die Maßen behindert.

  • Man wird eingeloggt, sieht den Sperrhinweis und beim nächsten Aufruf ist man wieder ausgeloggt. Der Logout erfolgt in dem Fall ganz am Ende der Verarbeitung, d.h. zu dem Zeitpunkt wird die Seite bereits vollständig dargestellt und es sieht genauso aus, wie wenn man normal eingeloggt ist. Eine andere Lösung gibt es unter den gegebenen Voraussetzungen nicht, da man andernfalls Inkompatibilitäten erwarten müsste.

    Danke für die Info ;)

    Dann sollte es ja eigentlich passen.

  • Man kann das sehen wie man will, Fakt ist das Impressum muss mit nur Maximal 2 Klicks erreichbar sein muss, ohne wenn und aber.


    Mein Vorschlag wäre, das Impressum einfach unter dem Sperrgrund anzuzeigen.

    Zeiten ändern sich, zeiten ändern dich,
    dich und deine Sicht.

  • Oder man erstellt sozusagen eine Externe Seite und Verlinkt dort das Impressum hin.


    Ich vermute das die Sperre aber nicht normale Links im Footer sperren oder?

    Mit freundlichen Grüßen

    Spielealles

    • Official Post

    […]


    Edit: Okay, klappt. Ich lasse den Logout nun automatisch erzwingen, man sieht zwar noch die normale Seite mit der Sperrbegründung, ist aber beim nächsten Aufruf wieder ausgelogt. https://github.com/WoltLab/WCF…23f0b18dbeb67e7ea79b1fe9f

    Durch diese Änderung werden gesperrte Nutzer mit dem nächsten Seitenaufruf automatisch ausgeloggt, damit ist das Problem gelöst ;)

  • Barungar Schau mal was ich als erste Antwort geschrieben habe.


    Aber das ist auch in WFC2.x

    Mit freundlichen Grüßen

    Spielealles

  • Im WCF1.x und 2.0 verhält es sich nicht anders. Es ist schon interessant, dass dieses Verhalten nach nunmehr mehr als 10 Jahren erstmalig beanstandet wird.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.