Fehlerhafte Rechtevergabe bei den Mitgliederlisten

Sportfreunde Leipzig · November 11, 2017 at 12:45 PM

Hallo,
unsere Boardversion ist 4.1.17.
Ich wurde gestern darüber unterrichtet, dass Externe Daten abgreifen können, wenn sie direkte Links aufrufen.

Es geht da speziell um die Mitglieder (.../index.php?members-list/). Diese Seite bringt für Externe den Hinweis "Der Zutritt zu dieser Seite ist Ihnen leider verwehrt. Sie besitzen nicht die notwendigen Zugriffsrechte, um diese Seite aufrufen zu können."
Genau so soll es sein.

Diese Seite hat 5 Unterseiten

Letzte Aktivitäten (.../index.php?recent-activity-list/)
Benutzer online
Team-Mitglieder
Mitgliedersuche (.../index.php?user-search/)
Klicks

Die beiden roten Links verwehren leider den Zugriff nicht. Bei beiden sieht man die letzten 5 Anmeldungen und die 5 aktivsten User. Bei uns ein großes Problem, da wir mit Klarnamen arbeiten. Zudem ist bei der Suche über das Suchfeld mit Fleiß jeder Mitgliedername herauszubekommen, da systemseitig schon vollständige Namen vorgeschlagen werden.

Wie bekomme ich dise beiden Links dicht, damit bei Externem Zugriff auch auf die fehlende Berechtigung hingewiesen wird. Aktuell ist es bzgl. des Datenschutz ein Supergau.

MfG

Barungar · November 11, 2017 at 1:32 PM

Kann ich nicht bestätigen...

https://sfl.community/index.php?user-search/

und

https://sfl.community/index.php?recent-activity-list/

Beide Seiten zeigen einem "Gast" keine wirklich verwertbaren Informationen. Die erste bringt sogar einen "Fehler" und die zweite enthält "keine Aktivitäten"; oder meinst Du die "zehn Vor- und Nachnamen" am rechten Rand, die letztendlich die Usernamen sind?

Sportfreunde Leipzig · November 11, 2017 at 1:43 PM

Der erste Link ist deaktiviert, weil ich in ACP/System/Optionen/Module/Benutzer bei Mitgliederliste den Haken rausgenommen habe.

Beim zweiten Link, wird gerade keine Aktivität angezeigt, aber gestern war da noch eine. Die 10 Namen am Rand (rechts) sind ein Datenschutzproblem.

//Ergänzung

Über die Dashboardkonfiguration habe ich nun Neuste Mitglieder und Aktivste Mitglieder für alle entfernt. Das ist imo eine Notlösung, da die Mitgliederliste nun nicht nutzbar ist. Wichtig wäre die Rechte für die beiden Links so zu vergeben, wie sie bei den 3 anderen Untermenüpunkten Benutzer online,
Team-Mitglieder & Klicks richtig hinterlegt ist.

**Marcel Werk** · November 12, 2017 at 5:42 PM Official Post

Die Berechtigung "Kann Mitglieder-Liste sehen" wirkt sich nur auf die Seiten "Mitglieder-Liste" und "Team-Liste" aus. Es gibt in Version 4.1 keine Einstellungsmöglichkeit die Seiten "Mitgliedersuche" und "Letzte Aktivitäten" sowie Boxen auf Basis von Gruppen-Berechtigungen auszublenden.

Sportfreunde Leipzig · November 12, 2017 at 6:34 PM

Wie bekomme ich es dann hin, dass sich die Berechtigung auch auf die Seiten "Mitgliedersuche" und "Letzte Aktivitäten" vererbt wird? Für uns ist das nämlich eine Sicherheitslücke, die uns vor ein Datenschutzproblem stellt. Wir sind auch bereit im Quelltext entsprechende Anpassungen vorzunehmen. Ist es eventuell in der Suite besser geregelt?

Sportfreunde Leipzig · November 14, 2017 at 3:29 PM

Quote from Marcel Werk

Die Berechtigung "Kann Mitglieder-Liste sehen" wirkt sich nur auf die Seiten "Mitglieder-Liste" und "Team-Liste" aus. Es gibt in Version 4.1 keine Einstellungsmöglichkeit die Seiten "Mitgliedersuche" und "Letzte Aktivitäten" sowie Boxen auf Basis von Gruppen-Berechtigungen auszublenden.

Die "Einstellmöglichkeit" wurde nun gefunden.

In den Templates recentActivityList & userSearch wurde der Content zwischen {if $__wcf->user->userID} und {else}<p class="error">{lang}wcf.global.error.permissionDenied{/lang}</p>{/if} gesetzt.

In den Templates dashboardBoxNewestMembers & dashboardBoxActiveMembers wurde der Content (alles) zwischen

{if $__wcf->user->userID} und {/if} gesetzt.

Nur noch dran denken, im Stil die Templategruppe anzupassen und fertig!

Participate now!