„Kann Titelbilder sehen“ hat keine Auswirkung

  • Affected Version
    WoltLab Suite 5.4

    … zumindest nicht für Administratoren.


    Für den Standard-Administrator bei einer Installation mit dev=1 habe ich die Berechtigung „Kann Titelbilder sehen“ für folgende Benutzergruppen deaktiviert:

    • Administratoren
    • Jeder
    • Registrierte Benutzer

    Dennoch kann ich sowohl mein eigenes als auch das Titelbild anderer Benutzer noch sehen.

  • Dennoch kann ich sowohl mein eigenes ...

    Ich würde mal behaupten, dass Du Dein eigenes immer sehen kannst, alles andere wäre ja Blödsinn.

    Zu den anderen: Befindest Du Dich evtl. noch in einer weiteren Gruppe, die Ja-Rechte besitzt?


    Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.

    Gruß

    Jörg

    (Jaydee)

  • Wird vielleicht das Standard Titelbild angezeigt und die Einstellung wirkt sich nur auf individuell hochgeladene Titelbilder aus?


    Ist das bei dir eventuell der Fall?

  • Ich würde mal behaupten, dass Du Dein eigenes immer sehen kannst, alles andere wäre ja Blödsinn.

    Dann ist aber das Recht zumindest falsch benannt. Dann müsste es „Kann Titelbilder anderer Benutzer sehen“.

    Befindest Du Dich evtl. noch in einer weiteren Gruppe, die Ja-Rechte besitzt?

    Nein. Im Standardumfang ist man als Administrator nur in den von mir genannten Gruppen.

    Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.

    Wenn ich mir als Administrator selbst Rechte wegnehme, erwarte ich auch, dass ich diese Rechte nicht mehr habe.

    Wird vielleicht das Standard Titelbild angezeigt und die Einstellung wirkt sich nur auf individuell hochgeladene Titelbilder aus?

    Ja, es ist das Standard-Titelbild. Aber selbst dann erwarte ich, dass ich selbiges nicht mehr sehe. Schließlich habe ich mir die Berechtigung dafür genommen.



    Um dem Raten ein Ende zu machen: Im Template ist gar keine Prüfung vorhanden. Die Berechtigung canSeeCoverPhoto() wird dort nie abgefragt. (Und ja, das eigene soll man wohl immer sehen können (https://github.com/WoltLab/WCF…ofile.class.php#L450-L453), nicht aber fremde.

  • Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.


    In einem System ohne solches Rechtesystem hättest du sicherlich Recht. Nur bei dieser Software, wo selbst für die Administratorengruppe praktisch jede Berechtigung konfigurierbar ist, stellt es sich etwas anders dar. Da sollte natürlich jede Berechtigung funktionieren, die angeboten wird. Und es kann ja durchaus Anwendungsfälle geben, wo man eine Administratorengruppe hat, die vieles, aber eben doch nicht alles darf.

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • Ich nehme an, Du hast schon selbst nachgesehen, aber die Berechtigung user.profile.coverPhoto.canSeeCoverPhotos wird im Template user nicht an einer einzigen Stelle geprüft. Vielleicht schlicht und ergreifend vergessen?





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Die Limitierung hast du dort


    WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com


    Und wenn kein Recht besteht, wird das Standartbild angezeigt



    Abgefragt wird im Template hier


    WCF/user.tpl at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/user.tpl at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com

  • Shit, ausgerechnet dort hatte ich nicht nachgesehen. Die anderen in Betracht kommenden Klassendateien hatte ich auf entsprechenden Code geprüft.


    Danke für den Hinweis.





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

    • Official Post

    Ein angemeldeter Benutzer kann immer sein eigenes Titelbild sehen, selbiges gilt z. B. auch für den Avatar.


    WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com

  • Das ergibt aber rein logisch keinerlei Sinn.


    Es ist in diesem Fall doch vollkommen unerheblich, ob es ein individuelles Titelbild ist oder das Standard-Titelbild. Wenn ich das Recht „Kann Titelbilder sehen“ nicht habe, dann habe ich auch keine Titelbilder zu sehen.

    • Official Post

    Black Rider Das Verhalten ist konsistent zu anderen Inhalten wie beispielsweise Avataren. Fehlt die Berechtigung zur Ansicht von Avataren, so wird automatisch das Standard-Avatar für die Anzeige verwendet. Es liegt an dieser Stelle kein Fehler vor.

  • Nein. Im Standardumfang ist man als Administrator nur in den von mir genannten Gruppen.

    Das ist schon klar, aber es ist ja nicht gesagt, dass Jeder nur den Standard-Umfang nutzt. Es hätte ja gut sein können, dass Du weitere Gruppen erstellt hast (und z.T. auch Mitglied bist), daher meine Frage.

    Es ist von außen (und für uns) nicht ersichtlich, OB und WELCHE weiteren Gruppen DU evtl. verwendest.

    Daher muss auch das in solchen Fällen immer in Betracht gezogen werden bei Antworten.



    In einem System ohne solches Rechtesystem hättest du sicherlich Recht. Nur bei dieser Software, wo selbst für die Administratorengruppe praktisch jede Berechtigung konfigurierbar ist, stellt es sich etwas anders dar. Da sollte natürlich jede Berechtigung funktionieren, die angeboten wird

    Richtig, ist ist in nahezu jedem anderen Forensystem aber genau so der Fall. Theoretisch kannst Du einen Administrator ebenso zum reinen Gast "degradieren" wie jeden anderen User auch, die Rechte-Optionen sind überall identisch (bestenfalls mit entsprechenden Warnungen versehen, dass man seinen eigenen Account bearbeitet).

    Sinn macht das bei Admins aber nur, wenn man als Betreiber weitere (Co-) Admins "beschäftigt" und einer davon (oder mehrere) nicht die vollen Rechte erhalten sollen.

    Der Betreiber selbst (auf den sich mein Hinweis bezog) sollte aber die volle Kontrolle über alle Inhalte (somit auch Grafiken/Bilder/Fotos) behalten. Und falls vorhanden, auch der technische Administrator.

    Gruß

    Jörg

    (Jaydee)

  • Daher muss auch das in solchen Fällen immer in Betracht gezogen werden bei Antworten.


    Bei Black Rider eigentlich nicht....





    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier.

  • Das ist schon klar, aber es ist ja nicht gesagt, dass Jeder nur den Standard-Umfang nutzt. Es hätte ja gut sein können, dass Du weitere Gruppen erstellt hast (und z.T. auch Mitglied bist), daher meine Frage.

    Es ist von außen (und für uns) nicht ersichtlich, OB und WELCHE weiteren Gruppen DU evtl. verwendest.

    Genau deshalb schrieb ich das:

    Quote

    Für den Standard-Administrator bei einer Installation mit dev=1 habe ich die Berechtigung „Kann Titelbilder sehen“ für folgende Benutzergruppen deaktiviert:

    Hätte ich noch weitere Anpassungen vorgenommen, hätte ich das auch entsprechend mitgeteilt.


    Alexander Ebert Dann ist das konsistent inkonsistent. Denn im Normalfall werden Inhalte nicht angezeigt, wenn man dafür keine Berechtigung hat. Beim Avatar kann man das noch argumentieren, da es an einigen Stellen expliziter Bestandteil des Layouts ist und dahinter Funktionen stecken. Das ist aber beim Titelbild absolut nicht der Fall.