Registrierter, aber nicht aktivierter User hat zu viele Rechte

Sportfreunde Leipzig · Nov 14th 2018

Hallo,
folgende Situation. Jeder und Gäste haben keine Rechte, alle Einstellungen sind auf nein oder nie. Die Aktivierungsmethode ist "Aktivierung erfolgt durch den Administrator" Registrierte User müssen ihren Klarnamen verwenden, so wie sie als Mitglied im Verein gemeldet sind. Daraus folglich muss das Forum gut gesichert sein, damit diese sensiblen Daten nicht in fremde Hände fallen.

Nun registriert sich jemand. Durch die fehlende Aktivierung ist dieser jemand auch noch nicht in der Benutzergruppe "Registrierte Benutzer" gelistet.

1. Fehler

Der User hat vollen Zugriff auf das Kontrollzentrum und sieht dabei in den Benutzergruppen die Klarnamen der Gruppenleiter.

So lange der User nicht aktiviert wurde, sollte er auch nicht ans Kontrollzentrum dürfen.

Ruft der User per Direktlink den Kalender auf, bekommt er den Hinweis, dass ihm die Berechtigungen fehlen. Das funktioniert also, wie es soll.

2. Fehler
Ruft der nicht aktivierte User jedoch einen Termin direkt auf, dann sieht er alle angemeldeten Mitglieder mit den Klarnamen und kann sich sogar selbst zum Termin eintragen. (In der Brotkrume fehlt / Kalender, was andeutet, das die Berechtigungen eigentlich fehlen.)

Hier muss auch klar der Hinweis gezeigt werden, dass der User eben keine Berechtigungen hat.

Mit sportfreundlichem Gruß

T1N0 · Nov 14th 2018

Quote from Sportfreunde Leipzig

Registrierte User müssen ihren Klarnamen verwenden, so wie sie als Mitglied im Verein gemeldet sind. Daraus folglich muss das Forum gut gesichert sein, damit diese sensiblen Daten nicht in fremde Hände fallen.

Tipp: Vielleicht würde Dir folgendes Plugin Helfen

WoltLab Cloud

File

Invitation

This plugin allows members to invite others for your community.

Darkwood.Design

Sep 12th 2022

Etwas günstiger beim Entwickler https://zaydowicz.de/shop/index.php?product/19-uz-einladung/

Mit Hilfe des Plugins kann man das System so einstellen, dass man nur mit Einladungscode sich Registrieren kann.

Sportfreunde Leipzig · Nov 14th 2018

Danke, das klingt interessant. Werde ich mir gleich anschauen.

Black Rider · Nov 14th 2018

Das erste sehe ich nicht als Fehler: Er muss Zugriff auf das Kontrollzentrum haben, um beispielsweise seine Login-Informationen ändern zu können.

norse · Nov 14th 2018

Tja, hätte man damals anders entschieden: Berechtigung für den Zugang zu Gruppenbewerbungen und Gruppenbeitritte

Gruß norse

Sportfreunde Leipzig · Nov 14th 2018

Quote from Black Rider

Das erste sehe ich nicht als Fehler: Er muss Zugriff auf das Kontrollzentrum haben, um beispielsweise seine Login-Informationen ändern zu können.

Wofür, wenn die Person gar kein Mitglied unseres Vereins ist und folglich nie aktiviert. Ich habe bisher solche Registrierungen immer gelöscht, wenn ich sie wahrgenommen habe. Mir war nur nicht bewusst, das es eine Lücke gibt, die für die DSGVO relevant wird.

Quote from norse

Tja, hätte man damals anders entschieden: Berechtigung für den Zugang zu Gruppenbewerbungen und Gruppenbeitritte

Gruß norse

Display More

Dafür gab es gleich mal an zwei Stellen einen Daumen!

SoftCreatR · Nov 15th 2018

Quote from norse

Tja, hätte man damals anders entschieden: Berechtigung für den Zugang zu Gruppenbewerbungen und Gruppenbeitritte

Gruß norse

Display More

Das könnte man allerdings via Plugin nachrüsten. Mir ist natürlich klar, dass das nicht die erwartete Antwort ist, aber wo ein Wille, da ist auch ein Weg.

norse · Nov 15th 2018

Dann hau in die Tasten.

Gruß norse

SoftCreatR · Nov 15th 2018

Nö, diesmal nicht

Susi · Nov 21st 2018

Quote from Sportfreunde Leipzig

So lange der User nicht aktiviert wurde, sollte er auch nicht ans Kontrollzentrum dürfen.

Das sehe ich auch nicht als Fehler, eher als besonderen Fall von deinem Forum.

Bei mir möchte ich, dass das so bleibt, denn ich deaktiviere Accounts deren E-Mail Adressen nicht gehen. Der User ist dann aber im nicht aktivierten Zustand in der Lage seine E-Mail Adresse zu ändern, um sich wieder aktivieren zu können oder auch den Account zu löschen. Und das sollte auch so bleiben.

Sportfreunde Leipzig · Nov 22nd 2018

Dann sollte man als Admin die Wahl haben, wie man es einstellt, oder?

SoftCreatR · Nov 22nd 2018

Du hast zumindest die Freiheit, dir das entwickeln zu lassen.

**Marcel Werk** · Dec 7th 2018

Zu 1.: Es gibt aktuell keine Möglichkeit den Zugriff auf das Kontrollzentrum abzuschalten. Ein Benutzer hat darauf immer Zugriff, auch wenn sein Account noch nicht aktiviert wurde.

zu 2.: Kann ich selbst nicht reproduzieren. Bitte die Zugriffsrechte im Kalender bzw. in den Kalender-Kategorien überprüfen.

norse · Dec 7th 2018

Quote from Marcel Werk

Es gibt aktuell keine Möglichkeit den Zugriff auf das Kontrollzentrum abzuschalten.

Man könnte versuchsweise die AccountManagementForm.class.php durch die Abfrage einer permission ergänzen, über die nur registrierte Benutzer verfügen. Für den TE könnte das die Lösung seines Problems bedeuten. Nach jedem Update müsste allerdings geprüft werden, ob die Datei in den Urzustand zurückversetzt oder der zusätzliche Inhalt im Rahmen einer Änderung entfernt wurde.

Gruß norse

**Marcel Werk** · Dec 7th 2018

Das wäre dann etwas für den Vorschläge-Bereich.

norse · Dec 7th 2018

Ich hatte das eher als persönlichen Vorschlag an den TE gedacht.

Gruß norse

Warlord · Dec 7th 2018

Frage warum schaltet man dann nicht die Registrierung ab? Macht es über Einladung?

T1N0 · Dec 7th 2018

Quote from Annothek

Macht es über Einladung?

Ist auch kein Standard in der Software

Jack Valentine · Dec 7th 2018

Quote from T1N0

Ist auch kein Standard in der Software

Ist aber dann wenigstens Update-Sicher.

Registrierter, aber nicht aktivierter User hat zu viele Rechte

Marcel Werk Dec 7th 2018

Marcel Werk Dec 26th 2018

Participate now!

Share

Tags