Letzter Beitrag / Neuester Beitrag Sicherheitslücke Internes

31.12.2011 17:30
avatar  mylord
#1
my
User

Hallo,

ich habe seid kurzem hier ein Forum aufgemacht, wozu ich eigentlich keine so große Ahnung habe.
Nun ja, dafür sind diese Schritte aber recht einfach, wenn man dazu ein wenig Sachverstand hat.
Nun habe ich dennoch ein Problem.
Ich habe dazu einen internen Bereich aufgemacht, also einen geschlossenen Bereich für auserwählte Forum-Mitglieder, welche diesen Bereich nur über ein Passwort erreichen können.
Nur liegt jetzt hier das Problem darin, dass zu einer öffentlichen "Hauptplattform" man über "Letzter Beitrag" zu diesen ausgesuchten Mitglieder dessen neuesten Beitrag dort direkten Zugriff hat, auf diesen geschlossenen Bereich, indem man nur dieses kleine weiße Feldchen anklickt, und schon befindet man sich dort in den internen Kreisen, hat somit ein Passwortgeschützten Bereich umgangen.
Wie kann ich jetzt nur diese Lücke schließen?
Ich habe im Admin Bereich dazu schon alles durchforstet, aber leider nicht diesen gewissen Punkt gefunden, womöglich weil mir eine gewisse Ahnung dazu fehlt.

Es wäre toll, wenn jemand mir dazu noch schnell vor Neujahr einen entsprechenden Tipp geben könnte?
Danke schon mal im Voraus und einen guten Rutsch Euch allen in das Neue Jahr!

VG mylord


 Antworten

 Beitrag melden
31.12.2011 18:07
avatar  mylord
#2
my
User

Hallo,

hier einmal in bildlicher Darstellung, zu einem besseren Verständnis.

Zu einer Vergrößerung, bitte Bild immer wieder anklicken.



Wie kann man diesen Punkt deaktivieren,schließen, oder umgehen, so dass man nicht in einen geschlossenen Bereich dort dazu eindringen kann?


 Antworten

 Beitrag melden
02.01.2012 10:17
avatar  mylord
#3
my
User

Hallo,

ich wünsche Euch allen ein frohes, glückliches neues Jahr, viel Gesundheit und Erfolg.

Zu dieser kleinen Sicherheitslücke hier frage ich mich, kann man mir dazu wirklich nicht weiterhelfen?

Ich kann mir bei dem besten Willen nicht vorstellen, dass es hier keine Foren geben soll, die dazu keine internene geschlossene Bereiche haben sollen, wie z.B. bei Administratoren und Moderatoren was auch immer, wo man doch gerne in einem kleinen Kreise unter sich sein möchte.
Nur wie hat man dort dieses Problem wohl gelöst, was einem blutigen Anfänger wie mich schon sehr interessieren würde?

VG mylord


 Antworten

 Beitrag melden
02.01.2012 11:24
avatar  williwu
#4
wi
User

Einfach durch Gruppen und entsprechende Rechtevergabe.

Du kannst Passworte vergeben, so viele du willst: Wenn deine Mitglieder in der Gruppe "Benutzer" sind und diese Gruppe Zugriff auf das Eliteforum haben, dann sind die Beiträge nicht geschützt, sondern nur der Zugang zu diesem Forum.

Richte eine Gruppe "Besondere Benutzer" oder "VIPs" oder wie auch immer ein und schließe im zu schützenden Forum alle anderen Benutzer außer dieser Gruppe aus. Das funktioniert in der Forenübersicht, bei den neuesten Beiträgen und im Portal. Und ist eine viel sauberere und elegantere Lösung als die Krücke mit dem Passwort.

Funktioniert bei mir hundertprozentig.

05.01.2012 08:58
avatar  mylord
#5
my
User

Hallo williwu,

vielen Dank für deine Hinweise.

Was ich dabei nur nicht ganz verstehe, hast du dazu keine Probleme, mit dieser Verfahrensweise.

Mit Gewissheit mach ich dazu irgend wo einen Fehler, aber auch ich habe dazu eine interne Gruppe gebildet, in einem geschützten Bereich (Forum), wo alle anderen Benutzer dazu ausgeschlossen sind.
Nur liegt mein kleines Problem auf einer Hauptplattform meines Forums, in diesem Hinweis "Letzter Beitrag", wo gerade diese ausgeschlossenen Benutzter nur darauf klicken müssen, um ein Beitrag eines internen Nutzers der ja gerade dort unter "Letzter Beitrag" gelistet wird, in diesen geschlossenen Bereich als ausgeschlossener Benutzer damit dann ungestört zu gelangen.

Liegt das etwa so bei dir nicht vor?

Um einer besseren Vorstellung zu dieser Sicherheitslücke meines Problems zu bekommen, habe ich oben zu meinem 2. Beitrag ein Bild eingefügt.

Ich bin mir aber sicher, dass ich dazu etwas falsch gemacht haben muss, und würde mich äußerst freuen, wenn mir dazu hier jemand einen wichtigen Hinweis geben könnte.

Oder kann mir jemand dazu eventuell die richtigen Einstellungen zukommen lassen womöglich eine kleine Anleitung, von mir aus per PN, so dass ich diese Einstellungen dazu Schritt für Schritt in Ruhe ab arbeiten kann, und dieses Problem dann wirklich hier bei mir nicht mehr auftaucht?

Es geht um einen geschlossenen internen Bereich in einem Forum, wo eine kleine Gruppe von Mitgliedern ungestört unter sich kommunizieren kann, wo andere Nutzer dazu ausgeschlossen wären.

Ich wäre demjenigen sehr dankbar, glaubt mir!!!

Viele Grüße
mylord


 Antworten

 Beitrag melden
05.01.2012 14:02
avatar  williwu
#6
wi
User

Zitat von mylord
Was ich dabei nur nicht ganz verstehe, hast du dazu keine Probleme, mit dieser Verfahrensweise.


Nö!

Zitat
Mit Gewissheit mach ich dazu irgend wo einen Fehler, aber auch ich habe dazu eine interne Gruppe gebildet, in einem geschützten Bereich (Forum), wo alle anderen Benutzer dazu ausgeschlossen sind.


Is schon klar!

Zitat
Nur liegt mein kleines Problem auf einer Hauptplattform meines Forums, in diesem Hinweis "Letzter Beitrag", wo gerade diese ausgeschlossenen Benutzter nur darauf klicken müssen, um ein Beitrag eines internen Nutzers der ja gerade dort unter "Letzter Beitrag" gelistet wird, in diesen geschlossenen Bereich als ausgeschlossener Benutzer damit dann ungestört zu gelangen.


Was ist eine Hauptplattform? Meinst du das Portal?

Zitat
Liegt das etwa so bei dir nicht vor?


Nö! Du kannst ja nicht sehen, was du alles nicht siehst.

Zitat
Um einer besseren Vorstellung zu dieser Sicherheitslücke meines Problems zu bekommen, habe ich oben zu meinem 2. Beitrag ein Bild eingefügt.


Mir ist schon klar, was dein Problem ist, aber das Bild hilft dazu nicht.

Zitat
Ich bin mir aber sicher, dass ich dazu etwas falsch gemacht haben muss, und würde mich äußerst freuen, wenn mir dazu hier jemand einen wichtigen Hinweis geben könnte.


Falls du mit Hauptplattform das Portal meinst, überprüf mal das hier:
Adminbereich -> Mods -> Portal-Module -> Block "Aktuelle Beiträge" -> Aktuelle-Beiträge-Einstellungen -> Feld "Berechtigungen prüfen anschalten" auf "Ja";
wenn dir das noch nicht reicht, dann kannst du mit den Feldern "Beiträge Foren" und "Foren ausschließen" auf Nummer sicher gehen.

Zitat
Oder kann mir jemand dazu eventuell die richtigen Einstellungen zukommen lassen womöglich eine kleine Anleitung, von mir aus per PN, so dass ich diese Einstellungen dazu Schritt für Schritt in Ruhe ab arbeiten kann, und dieses Problem dann wirklich hier bei mir nicht mehr auftaucht?


Gern geschehen.

Zitat
Es geht um einen geschlossenen internen Bereich in einem Forum, wo eine kleine Gruppe von Mitgliedern ungestört unter sich kommunizieren kann, wo andere Nutzer dazu ausgeschlossen wären.


Gut, dass du's noch mal erwähnst.,

Zitat
Ich wäre demjenigen sehr dankbar, glaubt mir!!!


Sag mir einfach, ob's geklappt hat. Sonst erkläre genauer, was du mit "Hauptplattform" meinst.

06.01.2012 17:15
avatar  mylord
#7
my
User

Zitat

Falls du mit Hauptplattform das Portal meinst, überprüf mal das hier:
Adminbereich -> Mods -> Portal-Module -> Block "Aktuelle Beiträge" -> Aktuelle-Beiträge-Einstellungen -> Feld "Berechtigungen prüfen anschalten" auf "Ja";
wenn dir das noch nicht reicht, dann kannst du mit den Feldern "Beiträge Foren" und "Foren ausschließen" auf Nummer sicher gehen.



Hallo williwu,

wow ...

recht herzlichen Dank für deinen Tip.

Ich war mir zu 100% Sicher, das ich nun damit mein Problem weg bekommen würde, und habe nach deinen Anweisungen gehandelt.

Jetzt kommts aber, ich habe weiterhin Einblick über diese "Letze Beiträge" auf dem Portal (richtig).

Nun dachte ich schon, weil ich zu dieser Ausnahmen einer Gruppe womöglich gehöre und auch Admin bin, hätte ich deswegen womöglich diesen ständigen Einblick auf alles.
Nun habe ich mich bei meiner Tochters Laptop eingeloggt, und unter einem anderen Namen auf mein Forum registrieren lassen. Nun habe ich auf dem Portal nachgeschaut, tja und habe seltsamerweise auch dort Zugang über "Letzter Beitrag" zu diesen internen Bereich gehabt.

Ich glaube ich bin zu doof für solche Sachen, das gibt es doch nicht

Wo liegt da nur dieser verflixte Haken?

Ein Techniker der das nicht mehr hin bekommt.

mylord


 Antworten

 Beitrag melden
06.01.2012 18:39
avatar  williwu
#8
wi
User

Also, ich hab's noch mal bei mir überprüft:

1. die Einstellungen bei den "Forenrechten" stimmen und
2. wenn die Einstellungen bei "Mods" stimmen, dann

kann kein Unberechtigter im Portal Beiträge, auf die er auch sonst keinen Zugriff hat, lesen.

Irgendwas an diesen Einstellungen muss bei dir nicht stimmen. Aber was, das musst du allein herausfinden, das können wir auch nicht wissen.

07.01.2012 09:37
avatar  mylord
#9
my
User

Hallo williwu,


ich muss mich bei dir entschuldigen, und zwar habe ich zu den Begriffen einiges durcheinander gebracht.

Zu meinem Begriff "Hauptplattform" dann über "Portal" war nicht das was ich wirklich meinte, sondern eine Foren-Übersicht, was ja meine Startseite zu meinem Forum ist.

Zu Portal aber funktionieren deine Hinweise einwandfrei

Wenn ich aber mich auf meiner Startseite Foren-Übersicht nun befinde, und dort ganz rechts auf "Letzter Beitrag" dieses kleine weiße Feldchen neben diesem User anklicke , und dieser User womöglich noch Sonderrechte zu geschlossenen internen Bereiche hat, komme ich trotzdem in diesen geschlossenen Bereich hinein, und kann seinen Beitrag zu diesem Thema lesen.

Wie sieht das bei dir aus?

Ist dazu bei dir alles auch abgesichert, wo keiner einen Einblick hat?


Viele Grüße
mylord


 Antworten

 Beitrag melden
07.01.2012 10:57
#10
Ko
User

bist du als admin angemeldet wenn du versuchst auf den Beitrag zuzugreifen ? Dann hast Du natürlich Zugriff auf alles .... Ich habe auch keine grosse Ahnung von der Sache ... Habs aber dann so gelöst das ich mir mehrere Testchars erstellt habe (mit Wegwerfmailadresse) denen die entsprechenden Rechte verliehen habe und so die Ergebnisse meiner Einstellungen überprüft habe.


 Antworten

 Beitrag melden
07.01.2012 11:16
avatar  williwu
#11
wi
User

Zitat von mylord
Wenn ich aber mich auf meiner Startseite Foren-Übersicht nun befinde, und dort ganz rechts auf "Letzter Beitrag" dieses kleine weiße Feldchen neben diesem User anklicke , und dieser User womöglich noch Sonderrechte zu geschlossenen internen Bereiche hat, komme ich trotzdem in diesen geschlossenen Bereich hinein, und kann seinen Beitrag zu diesem Thema lesen.


Die Frage und auch die Antwort ist doch ganz einfach: Hat der entsprechende User das Recht, diesen Beitrag zu lesen? Das überprüfst du anhand der Forenrechte im Adminbereich. Wenn er diese Rechte hat, dann kann er lesen, wenn nicht, dann kann er nicht. Funktioniert bei mir wunderbar so.

Zitat
Ist dazu bei dir alles auch abgesichert, wo keiner einen Einblick hat?


Nein, etwas, das niemand sehen kann, habe ich nicht eingerichtet. Hätte auch wenig Sinn. Aber ich habe daran gearbeitet, dass jeder nur das sehen darf, was er sehen soll. Und das ist manchmal etwas frickelig, aber möglich und mit wachsender Routine schnell machbar. Im Übrigen arbeite ich nicht mit Benutzerrechten, sondern nur mit Gruppenrechten. Das hat den Vorteil, dass man sofort weiß, wo man suchen muss, wenn mal etwas nicht so ist, wie es sein soll.

Viele Grüße
mylord

Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!