Benutzerrechte - Zugriff auf "Einstellungen" verhindern?

[Ralph]

Hallo,

ich bin fündig geworden. Das Formular "Einstellungen" kommt von
templates/wb_theme/templates/preferences.htt

In meinem jugendlichen Leichtsinn stelle ich mir jetzt einfach eine Abfrage vor der Anzeige des Formulars vor.

Ist man als ADMIN angemeldet wird Einstellungen angezeigt wenn nicht kommt ein entsprechender Hinweis.
Aber wie das realisieren.

Gruß Ralph

[Luisehahne]

Hi,

Wir werden das im Team besprechen, da der Kern im Moment sowieso umfassend überarbeitet wird.

Dietmar

[maverik]

Ist man als ADMIN angemeldet wird Einstellungen angezeigt wenn nicht kommt ein entsprechender Hinweis.

das macht in meinen augen nicht wirklich sinn denn nicht nur admins sollen / dürfen / müssen ihre einstellungen ändern. das ganze müsste / sollte / könnte über eine gruppe gehen in die man den / die user packt die sich zwar anmelden müssen um etwas bestimmtes zu sehen aber nichts an den einstellungen zu ändern haben.

aktuell hat sich bei mir am we auch die aufgabe gestellt.

es geht darum einen pressebereich einzurichten in dem zb hochauflösende bilder zum download angeboten werden. die entsprechenden stellen sollen sich den zugang zu diesem bereich per mail anfordern damit man nachvollziehen kann wo die bilder hingehen. dh hier bekommen mehrere leute den gleichen zugang und dürfen natürlich nicht in den einstellungen womöglich das passwort ändern.

macht also sinn langfristig wirklich über eine solche option nachzudenken und für die nächsten versionen auf die to do zu setzen.

[Ralph]

Hi,

die Formulardatei wird im unter Domain/admin/preferences/index.php aufgerufen. Nachdem ich dort
$template->set_file('page', 'preferences.htt');
auskommentiert hatte wurde das Formular nicht mehr angezeigt. Um aber dem armen User nicht das Gefühl zu geben sein PC funktioniert nicht richtig habe ich vorgezogen den Aufruf zu belassen und die preference.htt so zu ändern das ein Hinweis  "keine Rechte" erscheint.

Ist sicher keine elegante Lösung, eher der Holzhammer. Reicht für meine Zwecke völlig aus, da kein User sich selber anmelden kann und alle Nutzer einer Gruppe die selben Zugangsdaten nutzen.

An dieser Stelle möchte ich mich bei allen für Ihre Anregungen bedanken, wenn ich durch meine "Laienhafte" rumfummelei noch was rausfind lasse ich es Euch wissen.

Vielen Dank
Ralph

[DarkViper]

geht gut, solange Du nicht versuchst, Dein eigenes Administratorpasswo rt zu ändern....
und das nächste WB-Update wird die Änderung bereits schon wieder rückgängig machen... 

[Ralph]

Wie gesagt eher der Holzhammer! Wenn ich mal das Adminpassword ändern muss wird es ein wenig aufwendiger. Hochladen der ursprünglichen .htt solle eine Möglichkeit sein.

Gruß Ralph

[mikew]

Ja, auch ich suche hierfür eine Lösung!

Habe so um die 100 Kunden, welche sich mit ihrer eigenen
Kundennr. und einem allgemeinen Passwort einloggen müssen.

Wie gesagt, dass Passwort ist für alle Kunden das selbe, nur der
Benutzername = Kundenummer.

Also ist es notwendig, dass keine Kunde Änderungen vornehmen kann.

Die Kundenverwaltung soll übrigens via CSV Datei und SQL Import ablaufen.

Aber möglicherweise ist (bis eine bessere Lösung da ist) der Schutz des
Verzeichnisses /admin mit .htaccess die sicherste Variante.

Gruss Mike

[Hans>NULL]

Benutzername = Kundenummer.

Prima. Solche Sicherheitslücken hier bekanntzugeben lieben wir. Wird das auch noch getwittert? 

[mr-fan]

Benutzername = Kundenummer.

Prima. Solche Sicherheitslücken hier bekanntzugeben lieben wir. Wird das auch noch getwittert? 

  Hans winkt gerade mit dem kompletten baumstamm - nicht nur nem zaunpfahl......

es sollten grundsätzlich keine "einheitlichen" accounts geben - warum kann nicht jeder seinen zugang bekommen? das ist sehr einfach zu handhaben - aber naja die ganze welt sollte ein einheitliches passwort haben und ab 1 beginnende Benutzernamen - dann haben wir keine sicherheitsprobleme nie nicht mehr 

[Waldschwein]

Haben wir doch schon: Facebook und OpenID.  Wer da angemeldet ist braucht keine Sicherheit mehr. 

Gruß Michael

[DarkViper]

keine Bange.... wer versucht OpenID oder ähnliches in WB einzubauen, wird von mir persönlich standrechtlich erschossen....     

[Luisehahne]

Hallo,

es sollten grundsätzlich keine "einheitlichen" accounts geben

Wenn Journalisten Zugang zu einem Pressebereich bekommen, ist das immer einheitlich, aber nur mit Rechten Pressematerial zu Downloaden, ansonsten keinerlei Rechte für irgendwas.

Also die Anfrage finde ich schon berechtigt und ich werde mich auch für eine Umsetzung stark machen, weil es mir logisch erscheint und es in diesen Bereichen auch so gemacht wird.

Dietmar

[Waldschwein]

Hallo!

Dann wird man aber - wenn man es richti machen will - nicht darum herum kommen, das Rad komplett neu zu erfinden.
Man müsste dann bei einem Pressezugang und einheitlicher Zugänge eine Möglichkeit bieten, die unabhängig von Benutzern und Gruppen Zugänge / Passwörter verwaltet, und hier auch gleich den ganzen (!) Medienordner einbindet.
Also man kann dann für eine Seite ein Passwort (Seitenpasswort usw.) festlegen, selbiges auch (rekursiv ja / nein) für Medienordner. Dann hätte man kein Problem mit Sicherheit, man hat niemanden zu tief im System, usw.
Wenn man ganz geschickt sein will erstellt man eine API dafür und lässt individuelle Tokens erstellen, á la "erstelle mir 50 Tokens für Seite XY, leite die an Modul AB weiter, wo ich nur noch die E-Mail-Adressen eintragen muss, das die Tokens weiterschickt".
Das ist jetzt natürlich der absolute Featureoverblow, aber wenn man konsequent APIs usw. erstellt, würden auch solche Workflows mit WB grundsätzlich möglich sein. Drupal macht so etwas vor (ModX wohl auch), der olle Schinken Joomla kann das nicht.

Gruß Michael

[Hans>NULL]

Wenn Journalisten Zugang zu einem Pressebereich bekommen, ist das immer einheitlich

Nur dass in einem Redaktionssystem die Benutzerrechte gaaaaaaaaaaaanz anders geregelt sind. Derartige Besucher haben überhauot keinen Zugang zum Redaktionssystem. Es existieren sowas wie Anwenderschichten, wo eine Verbindung derselben untereinander, auch vom Redaktionsadmin, nicht hergestellt werden kann. Das ist nicht nur der Sicherheit sondern auch der juristischen Seite (Redaktionsgeheimnis + Datenschutz) geschuldet.

Derartiges läßt sich leider nicht "mal eben so" umsetzen. -Schade aber auch... 
WB hat aber bis vor kurzem nie den Anspruch erhoben ein Redaktionssystem zu sein (war auch garnicht so gedacht !)
Gruß, Hans>NUL

[Luisehahne]

Hatte ich nicht deutlich geschrieben, ich werde mich dafür stark machen, das bedeuted nicht, morgen habt ihr die Funktion. Ich werde und kann mich da auch nicht festlegen.

Dietmar

[Waldschwein]

Hatte ich nicht deutlich geschrieben, ich werde mich dafür stark machen, das bedeuted nicht, morgen habt ihr die Funktion. Ich werde und kann mich da auch nicht festlegen.

Dietmar

Das versteht sich von selbst für jeden, der zumindest einen groben Überblick davon hat, was das alles bedeuten würde.   Ich plädiere nur für eine andere Herangehensweise. WebsiteBaker bietet nicht allzu viel fertiges, sondern bietet die Möglichkeit, dass andere alles einbinden können - und das, was die Entwickler für richtig halten bringen sie selber rein. Dem Benutzer kann es später völlig egal sein, aber es gibt viele Vorteile, wenn man "überall" ohne etwas an den Coredateien zu verändern das System erweitern kann. Richtig gemacht ist das sogar 100% sicher.

Gruß Michael

Edit: Hans sagt ja dasselbe wie ich.  Ich fühle mich geehrt.

[Hans>NULL]

Edit: Hans sagt ja dasselbe wie ich.   Ich fühle mich geehrt.

Ich bin nur krank (hehe   )

Edit

Derartiges läßt sich leider nicht "mal eben so" umsetzen. -Schade aber auch...

Das braucht aber niemanden davon abzuhalten WB zweimal zu installieren, eben für derartige Zwecke, un jut is.

[bakerling]

Hallo

Ich hatte das selbe Problem dank Matthias lösen können.

http://www.websitebaker2.org/forum/index.php/topic,5362.msg33666.html#msg33666

Das ganze ist aber vom Provider abhängig. Beim einen Hoster läuft es problemlos. Bei einem anderen Hoster funzt es nicht, da die die Funktion redirect mit einer absoluten URL aus Sicherheitsgründen nicht zulassen.

Bei diesem Hoster habe ich dann halt einfach das Verzeichnis in dem die Dokumente liegen geschützt.

Ich hoffe das hilft vorläufig weiter

LG Harry