„Kann Titelbilder sehen“ hat keine Auswirkung

  • Betroffene Version
    WoltLab Suite 5.4
    Betroffene App
    WoltLab Suite Core

    … zumindest nicht für Administratoren.

    Für den Standard-Administrator bei einer Installation mit dev=1 habe ich die Berechtigung „Kann Titelbilder sehen“ für folgende Benutzergruppen deaktiviert:

    • Administratoren
    • Jeder
    • Registrierte Benutzer

    Dennoch kann ich sowohl mein eigenes als auch das Titelbild anderer Benutzer noch sehen.

  • Dennoch kann ich sowohl mein eigenes ...

    Ich würde mal behaupten, dass Du Dein eigenes immer sehen kannst, alles andere wäre ja Blödsinn.

    Zu den anderen: Befindest Du Dich evtl. noch in einer weiteren Gruppe, die Ja-Rechte besitzt?

    Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.

    Gruß

    Jörg

    (Jaydee)

  • Wird vielleicht das Standard Titelbild angezeigt und die Einstellung wirkt sich nur auf individuell hochgeladene Titelbilder aus?

    Ist das bei dir eventuell der Fall?

  • Ich würde mal behaupten, dass Du Dein eigenes immer sehen kannst, alles andere wäre ja Blödsinn.

    Dann ist aber das Recht zumindest falsch benannt. Dann müsste es „Kann Titelbilder anderer Benutzer sehen“.

    Befindest Du Dich evtl. noch in einer weiteren Gruppe, die Ja-Rechte besitzt?

    Nein. Im Standardumfang ist man als Administrator nur in den von mir genannten Gruppen.

    Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.

    Wenn ich mir als Administrator selbst Rechte wegnehme, erwarte ich auch, dass ich diese Rechte nicht mehr habe.

    Wird vielleicht das Standard Titelbild angezeigt und die Einstellung wirkt sich nur auf individuell hochgeladene Titelbilder aus?

    Ja, es ist das Standard-Titelbild. Aber selbst dann erwarte ich, dass ich selbiges nicht mehr sehe. Schließlich habe ich mir die Berechtigung dafür genommen.


    Um dem Raten ein Ende zu machen: Im Template ist gar keine Prüfung vorhanden. Die Berechtigung canSeeCoverPhoto() wird dort nie abgefragt. (Und ja, das eigene soll man wohl immer sehen können (https://github.com/WoltLab/WCF/bl…s.php#L450-L453), nicht aber fremde.

  • Davon ab finde ich, dass ein Admin (spätestens der Betreiber eines Forums) immer ALLE Inhalte sehen könnten sollte (bis auf PNs). Aber das ist Ansichtssache.

    In einem System ohne solches Rechtesystem hättest du sicherlich Recht. Nur bei dieser Software, wo selbst für die Administratorengruppe praktisch jede Berechtigung konfigurierbar ist, stellt es sich etwas anders dar. Da sollte natürlich jede Berechtigung funktionieren, die angeboten wird. Und es kann ja durchaus Anwendungsfälle geben, wo man eine Administratorengruppe hat, die vieles, aber eben doch nicht alles darf.

  • Ich nehme an, Du hast schon selbst nachgesehen, aber die Berechtigung user.profile.coverPhoto.canSeeCoverPhotos wird im Template user nicht an einer einzigen Stelle geprüft. Vielleicht schlicht und ergreifend vergessen?


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

  • Ich nehme an, Du hast schon selbst nachgesehen, aber die Berechtigung user.profile.coverPhoto.canSeeCoverPhotos wird im Template user nicht an einer einzigen Stelle geprüft. Vielleicht schlicht und ergreifend vergessen?


    Gruß norse

    Die Limitierung hast du dort

    WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com

    Und wenn kein Recht besteht, wird das Standartbild angezeigt


    Abgefragt wird im Template hier

    WCF/user.tpl at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/user.tpl at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com
  • Shit, ausgerechnet dort hatte ich nicht nachgesehen. Die anderen in Betracht kommenden Klassendateien hatte ich auf entsprechenden Code geprüft.

    Danke für den Hinweis.


    Gruß norse

    Zugang zu meinen Arbeiten und dem dazugehörigen Support bekommt Ihr bei Interesse hier und hier.

    • Offizieller Beitrag

    Ein angemeldeter Benutzer kann immer sein eigenes Titelbild sehen, selbiges gilt z. B. auch für den Avatar.

    WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    WoltLab Suite Core (previously WoltLab Community Framework) - WCF/UserProfile.class.php at 756723b46e867996bb6e629dc162fee7c1878d74 · WoltLab/WCF
    github.com
  • Alexander Ebert 22. November 2021 um 16:41

    Hat das Label Funktioniert wie gewollt hinzugefügt.
  • Nein. Im Standardumfang ist man als Administrator nur in den von mir genannten Gruppen.

    Das ist schon klar, aber es ist ja nicht gesagt, dass Jeder nur den Standard-Umfang nutzt. Es hätte ja gut sein können, dass Du weitere Gruppen erstellt hast (und z.T. auch Mitglied bist), daher meine Frage.

    Es ist von außen (und für uns) nicht ersichtlich, OB und WELCHE weiteren Gruppen DU evtl. verwendest.

    Daher muss auch das in solchen Fällen immer in Betracht gezogen werden bei Antworten.


    In einem System ohne solches Rechtesystem hättest du sicherlich Recht. Nur bei dieser Software, wo selbst für die Administratorengruppe praktisch jede Berechtigung konfigurierbar ist, stellt es sich etwas anders dar. Da sollte natürlich jede Berechtigung funktionieren, die angeboten wird

    Richtig, ist ist in nahezu jedem anderen Forensystem aber genau so der Fall. Theoretisch kannst Du einen Administrator ebenso zum reinen Gast "degradieren" wie jeden anderen User auch, die Rechte-Optionen sind überall identisch (bestenfalls mit entsprechenden Warnungen versehen, dass man seinen eigenen Account bearbeitet).

    Sinn macht das bei Admins aber nur, wenn man als Betreiber weitere (Co-) Admins "beschäftigt" und einer davon (oder mehrere) nicht die vollen Rechte erhalten sollen.

    Der Betreiber selbst (auf den sich mein Hinweis bezog) sollte aber die volle Kontrolle über alle Inhalte (somit auch Grafiken/Bilder/Fotos) behalten. Und falls vorhanden, auch der technische Administrator.

    Gruß

    Jörg

    (Jaydee)

  • Das ist schon klar, aber es ist ja nicht gesagt, dass Jeder nur den Standard-Umfang nutzt. Es hätte ja gut sein können, dass Du weitere Gruppen erstellt hast (und z.T. auch Mitglied bist), daher meine Frage.

    Es ist von außen (und für uns) nicht ersichtlich, OB und WELCHE weiteren Gruppen DU evtl. verwendest.

    Genau deshalb schrieb ich das:

    Zitat

    Für den Standard-Administrator bei einer Installation mit dev=1 habe ich die Berechtigung „Kann Titelbilder sehen“ für folgende Benutzergruppen deaktiviert:

    Hätte ich noch weitere Anpassungen vorgenommen, hätte ich das auch entsprechend mitgeteilt.

    Alexander Ebert Dann ist das konsistent inkonsistent. Denn im Normalfall werden Inhalte nicht angezeigt, wenn man dafür keine Berechtigung hat. Beim Avatar kann man das noch argumentieren, da es an einigen Stellen expliziter Bestandteil des Layouts ist und dahinter Funktionen stecken. Das ist aber beim Titelbild absolut nicht der Fall.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!