News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 19
Seite [1]
DeltaEco


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Thema - 06.06.2011 um 21:48 Uhr
Hallo Leute,

ich wurde heute auf einen gravierenden Sicherheitsmangel im CMS aufmerksam gemacht:

1. Forum Zugriff ohne Berechtigung:

So ist es einem Besucher möglich durch anklicken eines registrierten Benutzers auf Forumbereiche zuzugreifen die normalerweise Nicht für Besucher oder andere Gruppen erlaubt sind.

Nun könnte man sagen man kann ja jeden Bereicht mit einem Passwort sichern aber das ist ja nicht Sinn der Sache.

2. solange ich die Registrierung eingeschaltet lasse ist es möglich für Aussenstehende die persönlichen Daten der User einzusehen.

Ich habe da Problem gelöst in dem ich die Registrierung abgeschaltet habe. Aber auch hier gilt immer der schlimmste Fall ich habe einen User der nicht in der Lage ist seine Daten ganz oder teilweise zu verstecken. Ich fand es persönlich bedenklich das ich bei Googlemaps als besucher der Seite sehen konnte wo wer ungefähr lebt. Diese Daten lassen sich nach Abschaltung der Registrierung nicht mehr einsehen.


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)
Inaktiv
SlayR ClanSphere Team


Geekboy




Herkunft: Calbe (Saale)
Beiträge: 1133
# Antwort: 1 - 06.06.2011 um 21:56 Uhr
Mööp! Habs bei mir gerade gecheckt. Ich denke DU hast ein echtes Problem in Deinen Sicherheitseinstellungen. Über User-Profil Forum sehe ich nur die Beiträge ein, die der User in unserem Öffentlichen Forum gepostet hat (das sollen Besucher auch einsehen dürfen). Im Benutzerprofil sehe ich auch nur die Daten, die der jeweilige Benutzer auch freigegeben hat (Haken bei "verstecken" nicht gesetzt).
Ich denke, Du solltest mal Deine Zugriffssteuerung überprüfen.


------------------
--- CLANSPHERE ---
Professional clan care starts here


Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 2 - 06.06.2011 um 22:05 Uhr
habe beim Besucher alles auf 1 stehen ich denke wenn ich es auf 0 setze das besucher dann gar nicht mehr im forum lesen können.

Das Problem ist ja das bei www.ogs4you.de keine Infos zu den Usern angezeigt werden können ohne Login.

bei www.gfbclan.de ist die registrierung eingeschaltet und wenn du dort zum beispiel einen online user anklickst dann kann der Besucher in Forumbereiche sehen die eigendlich für die Gruppe GFB Mitglieder frei ist


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Zuletzt editiert von DeltaEco am 06.06.2011 um 22:10 Uhr (1x Editiert)
Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 3 - 06.06.2011 um 22:08 Uhr
Du kannst aber die users_access.php so bearbeiten, dass nur noch registrierte diese Daten sehen können.

 
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
1. / 2. / ... 
 
$axx_file
['list']      = 1;
$axx_file['login']    = 1;
$axx_file['online']    = 1;
$axx_file['register']  = 0;
$axx_file['activate']      = 1;
$axx_file['sendpw']    = 0;
$axx_file['view']      = 1;

$axx_file['home']      = 2;
$axx_file['logout']    = 2;
$axx_file['settings']  = 2;
$axx_file['notifications'] = 2;
$axx_file['picture']  = 2;
$axx_file['picture_edit']  = 5;
$axx_file['password']  = 2;
$axx_file['setup']    = 2;
$axx_file['profile']  = 2;
$axx_file['close']    = 2;
$axx_file['manage']    = 3;
$axx_file['create']    = 3;
$axx_file['edit']    = 4;
$axx_file['options']  = 5;
$axx_file['remove']    = 5;


Dies funktioniert in Verbindung mit folgenden Einstallungen:

Verwaltung/Zugriff/Besucher (ID=1 !!!) --> Benutzer = gesperrt


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 4 - 06.06.2011 um 22:11 Uhr
Danke Tress teste das eben und melde mich gleich noch mal


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 5 - 06.06.2011 um 22:18 Uhr
am besten wäre, wenn du deine einstellungen sagen würdest


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 6 - 06.06.2011 um 22:24 Uhr
Ich habe jetzt die Einstellungen übernommen so wie von Tress gepostet die sich nicht von meinen unterschieden haben ausser in 2 punkten. Danach Cache geleert, doch leider immer noch das selbe Problem schaut einfach mal bei www.gfbclan.de aud die seite klickt auf die Mitglieder liste und klickt mal blackrose88 an und dann klickt oben in der Übersicht auf Forum dann könnte ihr zum Beispiel die Rumpelkammer sehen die eigendlich erst mit dem Zugriffsrecht bearbeiten freigegeben ist ausserdem zur Gruppe GFB leitung gehört.

Nachtrag: bei Besuchern und Benutzern stehen alle Rechte auf 1 in der Zugriffsliste.


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Zuletzt editiert von DeltaEco am 06.06.2011 um 22:26 Uhr (1x Editiert)
Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 7 - 06.06.2011 um 22:28 Uhr
naja und was steht in den kategorien und in den foren als zugriff -.-?


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 8 - 06.06.2011 um 22:29 Uhr
Also normalerweise sollte, nachdem du die users_ access.php so bearbeitet hast,
niemand mehr auf die user_view zugreifen können, der unter 1-lesen ist.

Sind deine Besucher denn noch die ID=1, oder hast du die mal umbenannt ?
Das ist nämlich ganz wichtig !


Übrigends hier geht es:

http://www.ogs4you.de/index.php?mod=users&action=view&id=25


------------------


www.iv-gaming.de | www.iv-artwork.de

Zuletzt editiert von Tress13 am 06.06.2011 um 22:30 Uhr (1x Editiert)
Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 9 - 06.06.2011 um 22:30 Uhr
in den Foren steht jeweils GFB leitung under GFB Mitglieder als BErechtigte Gruppen das ist ja das verwirrende. erst nach setzen eines Passwortes konnte ich den gesperrten bereich der Clanleitung dicht bekommen.

Nein Tress da habe ich nie etwas geändert.


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Zuletzt editiert von DeltaEco am 06.06.2011 um 22:31 Uhr (1x Editiert)
Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 10 - 06.06.2011 um 22:35 Uhr
Kontrollier das trotzdem mal ebend.

Verwaltung/Zugriff/Besucher bearbeiten und oben im Brwoserfenster gucken, ob dort ...on=edit&id=1 steht.
Dann können wir das wenigstens ausschliessen.


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 11 - 06.06.2011 um 22:38 Uhr
http://****&action=edit&id=1 Adressezeile daran liegt es also defintiv nicht.


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 12 - 06.06.2011 um 22:41 Uhr
Und unter System/Module/Besucher/Zugriff steht was ?
Bei mir das:


BESUCHER = 0
BENUTZER = 0
MEMBER = 2
STRÄFLING = 0
TRIAL = 0
SQUAD-CO.LEADER = 2
CLAN-CO.LEADER = 5
SQUAD-LEADER = 2
CLAN-LEADER = 5
MANAGER = 2
WEBMASTER = 5


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 13 - 06.06.2011 um 22:44 Uhr
Besucher = 0
Benutzer = 0
GFB Mitglied = 1
GFB Leitung = 4
GFB News/Forum = 4
Webmaster = 5


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 14 - 06.06.2011 um 22:46 Uhr
Und trotz der bearbeiteten datei funzt das nicht ?
Hast du vlt die falsche Webseite bearbeitet ?



Bei der hier geht es:

http://www.ogs4you.de/index.php?mod=users&action=view&id=25


------------------


www.iv-gaming.de | www.iv-artwork.de

Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 15 - 06.06.2011 um 22:47 Uhr
es geht nicht um OGS4You die ist dict es geht um www.GFBClan.de


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Inaktiv
|
Tress13


Highlander




Herkunft: Lüdenscheid
Beiträge: 3048
# Antwort: 16 - 06.06.2011 um 22:52 Uhr
Ja das habe ich verstanden. Ich wundere mich nur, warum das nicht funktioniert.
Theoretisch sollte ja bei diesen Einstellungen den Besuchern die Möglichkeit genommen worden sein,
auf die users_view zuzugreifen.

Kann dir auch nicht weiter helfen. Sorry.



Edit: Guck doch vlt nochmal über System/Explorer, ob die geänderte Datei auch angekommen ist.


------------------


www.iv-gaming.de | www.iv-artwork.de

Zuletzt editiert von Tress13 am 06.06.2011 um 22:53 Uhr (1x Editiert)
Inaktiv
|
DeltaEco
Thread-Ersteller


Rock the board




Herkunft: Bergheim
Beiträge: 68
# Antwort: 17 - 06.06.2011 um 23:00 Uhr
ok, werde der Clanleitung vorschlagen die Registrierung abzuschalten und den Joinus als Registrierung zu nutzen so wie bei OGS4You. Danke und wenn sich eine Lösung findet wäre ich euch dankbar für eine entsprechende pm.

Wünsche euch eine gute nacht
Dirk

ist übrigens alles so drin wie bei dir tress

Fehler gefunden:

Lösung: system/module/benutzer

auf 0 stellen. danach muss der neugierige schon die id erraten um die daten zu sehen.


------------------
Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, beim Universum bin ich mir nicht sicher (A. Einstein)

Zuletzt editiert von DeltaEco am 06.06.2011 um 23:17 Uhr (2x Editiert)
Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 18 - 06.06.2011 um 23:51 Uhr
so wie ich das verstehe ist einfach der "zugriff ab" für die forenbereiche jeweils nicht hoch genug eingestellt. das sollte eigentlich z.b. auf 3 für interne foren oder noch höher und dann kann man ja bei bedarf noch nen squad zuordnen, der auch mit weniger access dort einsehen darf.

die kategorien um das forum kann man auch verstecken durch erhöhen des zugriffs, allerdings ist dabei zu beachten, dass kategorien und forum eigene zugriffsbeschränkungen definieren, weswegen bei beiden elementen der "zugriff ab" jeweils dann passend eingestellt sein sollte.

alle einstellungen dazu wirken sich auch auf die board navlist, board users und weitere anzeigen mit aus. wenn dir dies noch immer nicht hilft zeig am besten mal beispielhaft an unserer demo oder per nennung der linkadressen ab index.php was wer sehen können soll und wer nicht. screenshots wären auch eine gute möglichkeit alternativ.


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Swifter


Specialist





Beiträge: 1841
# Antwort: 19 - 07.06.2011 um 06:39 Uhr
06.06.2011 um 23:00 Uhr - DeltaEco:
danach muss der neugierige schon die id erraten um die daten zu sehen.


Du meinst so wie hier: http://www.gfbclan.de/index.php?mod=board&action=users&id=76
???

Is doch gar nich schwer, da die IDs unter Mitglieder zu sehen sind...
Klar is das nun ein Umweg, aber wenn es jemand finden will, findet er es auch

Also ist das definitiv nicht die richtige Vorgehensweise...

Ich denke auch eher, dass da etwas mit den Zugriffen bei den Kategorien und/oder Foren nicht stimmt...


------------------
Greetz Swifter


Wenn du dich klein, nutzlos, beleidigt und depressiv fühlst, denke immer daran: Du warst einmal das schnellste und erfolgreichste Spermium deiner Gruppe!


Zuletzt editiert von Swifter am 07.06.2011 um 06:52 Uhr (1x Editiert)
Inaktiv
|
Antworten: 19
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo