Forum als anderer Benutzer ansehen (Impersonation)

Womit sich dieses Thema wohl auch erledigt hätte.

Wäre es hier nicht am Zielführenden, wenn man sich ein Forum als Benutzer XY anschauen kann und dann quasi in einem Testaccount ist, der alle Gruppen und Objektberechtigungen, aber nicht den Content übernimmt? So sieht man zum Beispiel nicht die Beiträge in privaten Foren, Konversationen, etc. (also alle direkt dem Nutzer zugeordneten Inhalte), aber man sieht, was ein Nutzer mit den Rechten sehen würde.

Quote from Tim Düsterhus

Wie sollte sich die gewünschte Funktionalität beispielsweise in Bezug auf Konversationen oder ähnliche private Inhalte (auch von Plugins!) verhalten?

Wäre eine Vererbung der Rechte dabei eventuell Sinnvoll?. Ohne das auf derartige dinge wie Konversationen Zugriff besteht?
Wenn User mitteilt das auf Seite XY ein Fehler besteht, er irgendwas nicht nutzen kann oder vergleichbares, könnte man doch evtl. als Admin zu besagter Seite oder je nach Anwendungsfall den "gehweg" des Users nachstellen und über eine Option beispielsweise sowas auswählen wie "Rechte von userXY simulieren", sodass anhand der User-ID geschaut wird, welche Benutzergruppenrechte der User besitzt und auch welche Optionen er im Profil eingestellt hat. Es sollen nur die Rechte und Optionspunkte abgerufen werden. Wenn der Admin dann auf einen switch klickt, wird er in einem Temporären Account geswitch (Login via Hash odersowas) und hat exakt 1-1 die Rechte und Einstellungen des Users. - Nachdem man sich den Fall angesehen hat, könnte der Temp-Account gelöscht werden. - Entschuldigt, alles über das Smartphone schnell geschrieben

Quote from Aze

Dieses Problem besteht bei dieser Idee doch gar nicht?

jeder remote-Zugriff auf ein fremdes Profil wäre dahingehend nutzbar

Ergänzung: mit "Kontroll-Zugriff" meinte ich nebebei gesagt auch keinen der inhalte kontrollieren wollte sondern die Rechte "kontrollieren würde - aber das ist wie Tim das so schön aus gedrückt hat reine Semantik, wie man das "kontrollieren" verstehen wollte

hast einen eigenen Zweitaccount den du von Gruppe zu Gruppe schuppsen kannst, ggf. sogar "persönliche" Rechte einräumen könntest, entfällt auch die Peinlichkeit dem Nutzer erklären zu müssen warum du den Zugriff auf seinen Account bräuchtest um das zu kontrollieren .. aber wie immer ist das wohl zu einfach gedacht

Quote from Anthrazit

Aber mal ganz ohne Zynismus oder Sarkasmus oder anderem Schnick .. Wenn ein Mitglied ein Problem hat mit dem was an Rechten zur Verfügung steht, kann man auch per PM das Passwort übergeben "für den einmal-gebrauch!".

Das ist hoffentlich nicht dein Ernst.

Abgesehen davon besteht nicht erst ein Anwendungsfall für diese Funktion, wenn ein Nutzer-Problem vorliegt. Es kann auch ohne bekanntes Problem sinnvoll sein, Rechte zu prüfen, bevor man einem Nutzer kommuniziert, ihm neue Rechte gegeben zu haben. Und dass man prüft, ob die Rechte eines Nutzers wie gewünscht arbeiten, muss nicht einmal in Absprache mit diesem Nutzer geschehen. Damit scheidet diese Option sowieso aus. Es geht bei dieser Funktion nämlich um eine technische Prüfung, nicht darum, im Namen dieses Nutzers zu arbeiten.

Quote from Tim Düsterhus

Ohne jetzt eine Beurteilung dieses Vorschlags „vorweg“ nehmen zu wollen, wäre es aber in jedem Fall notwendig, die gewünschte Semantik genauer zu definieren: Wie sollte sich die gewünschte Funktionalität beispielsweise in Bezug auf Konversationen oder ähnliche private Inhalte (auch von Plugins!) verhalten?

Ich gebe dir Recht, dass die Definition wichtig ist. Es sollte aber selbstverständlich sein, dass bei dieser Funktion kein Zugriff auf Konversationen besteht. Ansonsten haben wir hier ein Datenschutz-Thema. Sofern sich die Fehlermeldung beim Versuch entsprechend liest, sollte dieser vermeintliche „Fehler“ dann ja als Bestätigung genügen, dass Konversationen grundsätzlich zugänglich sind. Weniger offensichtlich sind öffentliche Aktionen wie Beiträge zu verfassen. Aber hier würde ich ehrlich gesagt in eine ähnliche Richtung tendieren, auch wenn hier der Datenschutz-Aspekt nicht im gleichen Umfang greift. Wie in meiner Antwort oben geschrieben sollte es dabei ja nicht darum gehen, Aktionen im Namen eines anderen Nutzers auszuführen. Wobei es, wenn man die andere von mir genannte Software als Referenz heranzieht und auf die Anwendungen hier übertragen würde, möglich wäre. Für mich würde es halt wirklich nur darum gehen, die Rechte zu prüfen. Aber da gibt es mit Sicherheit unterschiedliche Meinungen zu. Nur der Zugriff auf fremde Konversationen ist für mich wie gesagt ohne Diskussion ein NoGo - und damit noch ein Punkt, wieso die Weitergabe des Passworts durch den Nutzer als Idee für diesen Vorschlag nicht gut ist. Denn auf dem Weg lässt sich das nicht einschränken.

Nachtrag: Da das phpbb diese Funktion auch besitzt und hiermit ganz gut vergleichbar ist, bietet sich natürlich an, mal zu schauen, wie es dort umgesetzt ist. Ich habe das ehrlich gesagt nicht mehr im Kopf.

Quote from Cadeyrn

Es geht bei dieser Funktion nämlich um eine technsiche Prüfung, nicht darum, im Namen dieses Nutzers zu arbeiten.

ja und genau dafür nutzt man einen Zweitaccount, dann braucht es gar nichts, weder Zugriffsrechte noch Plugins oder zusätzlich verbaute Codeschnipsel von Haus aus - wer das dringende Bedürfnis hat, die Konversationen zu lesen die der User vorher geschrieben hat, nur weil er das Passwort für die Rechtekontrolle bekommen hat, sollte vlt. vor allem Anderen an diesem Drang arbeiten, ihn los zu werden, bevor irgendwas Anderes in die Quere kommt, aber das nur so nebenbei

Quote from Anthrazit

ja und genau dafür nutzt man einen Zweitaccount,

Wenn Du Projekte betreust, in denen viele verschiedene Benutzergruppen ganz unterschiedliche Rechte für viele unterschiedliche Gruppen bzw. Benutzer regeln, reicht ein Zweitaccount nicht aus. Da ist es deutlich einfacher, die Einstellungen durch Simulation zu testen, statt immer wieder Testaccounts mit genau den fraglichen Benutzergruppen-Einstellungen einzurichten.

Quote from smers

Wenn Du Projekte betreust, in denen viele verschiedene Benutzergruppen ganz unterschiedliche Rechte für viele unterschiedliche Gruppen bzw. Benutzer regeln, reicht ein Zweitaccount nicht aus. Da ist es deutlich einfacher, die Einstellungen durch Simulation zu testen, statt immer wieder Testaccounts mit genau den fraglichen Benutzergruppen-Einstellungen einzurichten.

soweit kann ich da auch mitgehen, aber worum es mir ging, wenn alle Rechte "sauber geschrieben" sind, von Haus aus und in den Plugins, dann dürfte der Bedarf äußerst selten sein, denn man weiß ja was man an Rechten eingestellt hat, und wenn die dann wie erwähnt sauber geschrieben sind, funtkioniert es so wie es eingestellt ist .. offenbar wieder ein Missverständnis meinerseits, entschuldigt die Verzögerung durch meine Einlassung zu dem Problem

Quote from Tim Düsterhus

Ohne jetzt eine Beurteilung dieses Vorschlags „vorweg“ nehmen zu wollen, wäre es aber in jedem Fall notwendig, die gewünschte Semantik genauer zu definieren: Wie sollte sich die gewünschte Funktionalität beispielsweise in Bezug auf Konversationen oder ähnliche private Inhalte (auch von Plugins!) verhalten?

Man könnte/müsste sich auf die Apps beschränken (Forum, CMS, Filebase, etc.). Der "private Bereich" wäre natürlich außen vor zu lassen. Aus bereits genannten Gründen wäre eine rudimentäre Ausrichtung der Funktion sicher ratsam.

Naja, aber wirklich sinnvoll ist das Ganze nur, wenn man auch alles testen kann. Daher bin auch ich der Meinung, dass es sinnvoller ist, Test accounts zu verwenden. Am besten in Kombination mit dem Account-Switcher.

Ich könnte mir vorstellen, dass man als Entwickler entsprechend Bereiche als privat markieren kann bzw. als standardmäßig nicht zugänglich, man aber als Administrator Zugriff darauf beim eigentlichen Benutzer anfordern kann, der diesen Zugriff dann gewähren oder verweigern kann.

Quote from SunnyCue

Wäre eine Vererbung der Rechte dabei eventuell Sinnvoll?. Ohne das auf derartige dinge wie Konversationen Zugriff besteht?
Wenn User mitteilt das auf Seite XY ein Fehler besteht, er irgendwas nicht nutzen kann oder vergleichbares, könnte man doch evtl. als Admin zu besagter Seite oder je nach Anwendungsfall den "gehweg" des Users nachstellen und über eine Option beispielsweise sowas auswählen wie "Rechte von userXY simulieren", sodass anhand der User-ID geschaut wird, welche Benutzergruppenrechte der User besitzt und auch welche Optionen er im Profil eingestellt hat. Es sollen nur die Rechte und Optionspunkte abgerufen werden. Wenn der Admin dann auf einen switch klickt, wird er in einem Temporären Account geswitch (Login via Hash odersowas) und hat exakt 1-1 die Rechte und Einstellungen des Users. - Nachdem man sich den Fall angesehen hat, könnte der Temp-Account gelöscht werden. - Entschuldigt, alles über das Smartphone schnell geschrieben

Funktioniert das so in der Art nicht, dass man ALLE Berechtigungen / Benutzereinstellungen temp. übernimmt, in diesem Account als Admin dann switchen kann, nachsehen, erledigen und der temp. Account gelöscht wird wieder oder sowas in der Art?

Quote from SunnyCue

Wäre eine Vererbung der Rechte dabei eventuell Sinnvoll?. Ohne das auf derartige dinge wie Konversationen Zugriff besteht? [...]

Das wäre so umgesetzt wirklich sehr hilfreich - gute Idee!

Verstehe das Problem nicht.

Welche Konversationen oder andere Dinge soll es geben, wenn man einzig allein als Admin eine Impersonation durchf0hrt um zu sehen ob eine bestimmte Gruppe mit den Rechten, die sie aktuell hat, so auch korrekt für den Admin ist?

Ein Nutzer hat idR. die Gruppe "Users" bzw. im deutschen "Registrierter Benutzer" und evtl. dann weitere durch den Admin vergeben.

Diese wählt man im Impersonation Dialog aus und sieht dann quasi, ob die Rechte der Gruppe so passen würden X zu tun.