Benutzer mit eingeschränken Rechte kann selber erweitern

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Mo 3. Aug 2015, 14:19

Hallo,

Contenido 4.9.7

Ich habe einen Benutzer mit eingeschränkten Rechte erstellt, der aber auch selbst Benutzer anlegen können soll. Wenn ich mich also mit diesem Benutzer einlogge und die Benutzerverwaltung aufrufe kann ich
1) meine Rechte selbst erweiteren und
2) Benutzer mit mehr Rechten als ich selbst anlegen.

Das ist natürlich nicht so wie ich mir das gedacht habe - ein Bug?

malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Mi 5. Aug 2015, 09:18

Kann sich das bitte jemand anschauen?

Oldperl
Beiträge: 3989
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Franken, Bayern
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von Oldperl » Mi 5. Aug 2015, 09:56

Hallo smac,

ich kann den BUG bestätigen! Dabei bin ich folgendermaßen vorgegangen
  • Als sysadmin einen Benutzer für einen Mandanten und eine Sprache angelegt
  • Nun alle Rechte unter Bereiche für "Benutzer" vergeben
  • Ausgeloggt und als eingeschränkter Benutzer eingeloggt
  • Im nun einzig vorhandene Bereich Administration->Benutzer, meinen eigenen Eintrag angeklickt und im Submenü "Bereiche" alles bei Kategorien angehakt
  • Auf Speichern und es kommt die Bestätigung das gespeichert wurde
  • Aus- und wieder Einloggen, wobei auch ein Reload des Browsers ausreicht.
  • Ab sofort habe ich (der Benutzer) Zugriff auf den Bereich Content->Kategorie
Diese geht so in der 4.8er nicht, dort kann ich meinen eigenen Eintrag zwar sehen aber nicht verändern. Da hat sich wohl ein BUG beim Recoding der Version 4.9 eingeschlichen.

Gruß aus Franken

Ortwin
*NEU* PHP 7.x Community Draft von CONTENIDO 4.9 auf github
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das neue Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Mi 5. Aug 2015, 17:22

Hat vielleicht jemand eine schnelle Lösung dafür zur Hand? Ich bräucht einen solchen eingeschränkten Benutzer.

Danke!

Oldperl
Beiträge: 3989
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Franken, Bayern
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von Oldperl » Mi 5. Aug 2015, 18:25

Sorry, aber eine "schnelle" Lösung gibt es da nicht. Ich kann den Bereich gerne überarbeiten bzw. entsprechend modifizieren. Da es sich aber nicht nur um eine einzelne Funktion sondern mehrere Seiten handelt, ist das nicht mal "schnell" gemacht. Ansonsten musst du auf den Bugfix von 4fb dafür in der nächsten Version warten.

Gruß aus Franken

Ortwin
*NEU* PHP 7.x Community Draft von CONTENIDO 4.9 auf github
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das neue Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Mi 5. Aug 2015, 22:17

Danke für deine Antwort.

So ein Mist, bei der 4.8er habe ich das nicht gebraucht und jetzt wo der Kunde so einen Zugang haben möchte, funktioniert es nicht. Ich dachte möglicherweise muss nur ein Abfrage ergänzt werden. Ich werde mir überlegen wie wir damit umgehen.

malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Do 6. Aug 2015, 06:48

Hallo,

ich habe es jetzt über die Gruppen gelöst. Benutzer anlegen und löschen (kein ändern) und zu Gruppe zuordnen (von mir vordefiniert), so passen auch die Rechte. Wäre natürlich super, wenns ganz funktionieren würde.

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von frederic.schneider_4fb » Do 6. Aug 2015, 09:51

Vielen Dank für die ausführlichen Meldungen. Ich habe mir das heute Vormittag angesehen und kann das geschilderte Verhalten zunächst bestätigen. Von der reinen Logik her liegt hier meines Erachtens kein Fehler vor: Indem der Nutzer die Möglichkeit erhält, Benutzer zu bearbeiten, hat er auch die Möglichkeit, entsprechende Rechte anzupassen. Selbst, wenn er nicht sich selbst bearbeiten könnte, gebe es ja die Möglichkeit, einen neuen Nutzer anzulegen und ihm entsprechend Rechte zu geben, die über die bisherigen hinausgehen. Ich sehe aber den Punkt, dass es durch das Recht "Benutzer erstellen" und "Benutzer bearbeiten" quasi einen Freibrief gibt, sich annähernd die Rechte eines Systemadministrators selbst zu geben. Das kann durchaus ungewollt sein! Ich lege dazu bei uns - nach Rücksprache mit unserem Chef-Entwickler - ein Ticket an, wonach sich bei uns ein Entwickler mal Gedanken machen soll, wie man diese Gesamtproblematik klug lösen kann. Allerdings kann ich Euch keine kurzfristige Core-Lösung dazu anbieten.
Frederic Schneider
Entwickler bei der four for business AG

Oldperl
Beiträge: 3989
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Franken, Bayern
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von Oldperl » Do 6. Aug 2015, 10:22

Wie gesagt, nachdem ich den Bereich überflogen habe denke ich auch das eine Anpassung nicht "mal schnell" zu machen ist. Eigene Rechte verändern zu können ist in meinen Augen ein No-Go und definitiv ein Bug. Neue Nutzer anlegen zu können mit mehr als den eigenen Rechten ebenfalls.
Grundsätzlich könnte man sich überlegen für Nutzer die das recht zum Anlegen erhalten explizit einstellen zu können welche Rechte sie für andere Nutzer vergeben dürfen/können. Wobei das eigentlich auch Nonsens ist, da sie ja dann auch selbst an diese Rechte ran kämen.
Also dann doch, der eingeschränkte Nutzer mit dem Recht Nutzer anzulegen darf maximal nur Nutzer mit seinen eigene Rechten oder noch weniger Rechten anlegen können.

Dazu gehört der Rechte-/Backenduserbereich komplett überarbeitet und für den dort freigeschalteten eingeschränkten Nutzer darf es ausschließlich die Vergabemöglichkeit von eigenen Rechten für neu angelegte Backendnutzer geben. Wobei sein eigenes Benutzerprofil für Änderungen mit einer entsprechenden Meldung, wie bei amdin und sysadmin, gesperrt sein sollte.

Gruß aus Franken

Ortwin
*NEU* PHP 7.x Community Draft von CONTENIDO 4.9 auf github
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das neue Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von frederic.schneider_4fb » Do 6. Aug 2015, 10:25

Genau das sind die Gedanken, die sich bei uns dann jemand machen soll. Ich habe im Ticket auch auf dieses Forumthema verwiesen, sodass Eure Anregungen sicherlich in die Überlegungen mit einfließen werden!
Frederic Schneider
Entwickler bei der four for business AG

malsdgtac
Beiträge: 685
Registriert: Fr 12. Mär 2004, 15:50
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von malsdgtac » Do 6. Aug 2015, 10:51

Hallo,

also ich schließe mich da Ortwin auch an - mehr Rechte vergeben zu dürfen als man selbst hat, das erwartet man nicht.

Ich habe es ja jetzt über die Benutzergruppen gelöst, das funktioniert eigentlich ganz gut aus. Einzig, dass ich dem User nur "Benutzer anlegen und löschen" aber nicht bearbeiten zuordnen kann, ist nicht so gut. Hier wäre es vielleicht super, wenn man mit "bearbeiten" nur die Daten bearbeiten kann und es ein weiteres Rechte gäbe für "Rechte verwalten". Das wäre eine Lösung mit der man gut arbeiten könnte.

Oldperl
Beiträge: 3989
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Franken, Bayern
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von Oldperl » Do 6. Aug 2015, 11:10

soderle, ich hab mir das auch nochmal in 4.8, repsektive meiner CL-Version, angeschaut. Dort kann der eingeschränkte Nutzer zwar einen neuen Benutzer anlegen, diesem aber keinerlei, nicht mal die eigenen Rechte, in den entsprechenden Masken vergeben. Es kommt immer ein "Zugriff verweigert" beim Versuch zu speichern.
Ich denke da muss ich mir auch für meine Version der 4.8 zukünftig mal Gedanken machen und das Verhalten entsprechend modifizieren. Für 4.9 werde ich mir, da ich noch ein paar andere Ideen für den Nutzerbereich habe, ein Plugin stricken.

Gruß aus Franken

Ortwin
*NEU* PHP 7.x Community Draft von CONTENIDO 4.9 auf github
CONTENIDO 4.9 Entwickler-Handbuch - Publikation auf medium.com zu meinem angedachten Entwickler-Buch zu CONTENIDO 4.9
ConLite 2.0, alternatives und stabiles Update von Contenido 4.8.x
phpBO Search Advanced - das neue Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog

Faar
Beiträge: 1345
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: Benutzer mit eingeschränken Rechte kann selber erweitern

Beitrag von Faar » Do 6. Aug 2015, 13:01

Grob gesehen gibt es Sysadmin, Admin und User mit einzelnen Rechten, aber keine Zwischenstufe wie Redakteur.

Ich stelle mir vor, dass es so eine Tabelle gibt (wahrscheinlich gibts die sogar), in der diese einzelnen User-Rechte aufgeführt sind.
Und der Redakteur der nun einen neuen User erzeugt, der kann nicht mehr einzelne Rechte zubilligen als die, die er selbst hat.
Das Maximum wäre dann quasi das Abbild seiner eigenen Rechte.

Dazu braucht es natürlich eine Vergleichstabelle oder wie in MySQL diese "Privilegs" oder "Grants".
Dann kann man auch dem Redakteur gleich die Rechte erst gar nicht anzeigen, die er nicht vergeben kann (was er nicht weiß, macht ihn nicht heiß).

VG,
Frank :shock:
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

Antworten