WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)

Fallstricke der Benutzerverwaltung

<< < (2/3) > >>

LordDarkman:
ich kenn mich in der rechteverwaltung nicht wirklich aus aber könnte man nicht viel umgehen indem man von anfang an alles verbietet/nicht in DB einträgt.
in Zeile 53 der admin/groups/add.php hab ich folgendes gefunden:

--- Code: ---$query = "INSERT INTO ".TABLE_PREFIX."groups (name,system_permissions,module_permissions,template_permissions) VALUES ('$group_name','$system_permissions','$module_permissions','$template_permissions')";

--- End code ---
wenn man statt '$system_permissions' ' ' einträgt müsste der schonmal keine rechte mehr auf Seiten haben. Bei Modul Permissions und Template Permissions geht die Abfrage leider genau andersrum. Was eingetragen ist ist verboten. Wie man das "Schnell" umgeht k.a.

Bis denne dann Moritz

susigross:
Es gibt Sicherheitsprobleme, die kann man nur mit Änderungen im Code lösen.
Und es gibt Sicherheitsprobleme, die kann man auch mit sorgfältiger Konfiguration lösen.
Um so eines handelt es sich hier (sonst hätte ich es nicht veröffentlicht), und diese Lösungsmöglichkeite n habe ich ausführlich beschrieben.
Irgendwann wird sicher das Berechtigungskonzep t im Code vom Kopf auf die Füße gestellt, dann braucht man die Kopfstände als Admin nicht mehr zu machen.

So schwer ist die Korrektur des Codes ja nicht:

* Whitelist statt Blacklist
* Nur die Rechte der Gruppen berücksichtigen, die überhaupt Admin-Rechte für die aktuelle Seite haben

doc:
Hi,

auch wünschenswert. Wenn man auch die Berechtigungen zu einzelnen Admin Tools erlauben oder verbieten könnte. Bisher gilt mit Zugang zu den Admin Tools können alle Admin Tools verwendet werden, was aber oft nicht erwünscht ist.

Gruss Doc

LordDarkman:
Mir ist beim testen mit der DB was anderes aufgefallen: Wenn ich rechte für Module rausnehme (Backend) werden diese in die db geschrieben. Lass ich das Feld in der db leer habe ich rechte dafür. Es scheint dem zu folge doch eine Blacklist zu sein (was steht ist verboten). Das würde auch erklären warum neu inst Module nicht von Werk aus verboten sind. Man müsste also bei Module und Templates das ganze umdrehen (was steht in db ist erlaubt, rest verboten). Dann würden neue Module installiert werden können, sie werden nicht in db gelistet und sind verboten. Bei den Seiten macht er das ja so. Wenn ich da in der db das Feld Lösche bzw das Script wie oben beschrieben ändere dann machrt er nichts (gibt keine rechte). Ich komm da zwar erst heute abend zu, aber ich hab eine Idee when ich gestern richtig die Scripte überflogen habe...

Bis denne dann Moritz

susigross:

--- Quote from: LordDarkman on October 12, 2009, 09:32:07 AM ---Es scheint dem zu folge doch eine Blacklist zu sein (was steht ist verboten).

--- End quote ---

Es hat keiner etwas anderes behauptet.

Navigation

[0] Message Index

[#] Next page

[*] Previous page