Neu registrierte Benutzer können irrtümlich administrieren

[Pajuja]

Liebe Helfer!

Mein vor wenigen Tagen frisch eingerichtetes Forum phpbb 3.0.10 macht mir Kummer: registriert sich dort ein neuer Benutzer (was ich probehalber getestet habe), so wird ihm im unteren Bereich die Option "Administrations-Bereich" angeboten und er kann dort auch mit seinem Passwort einsteigen und das ein oder andere verändern (wenn auch nicht alles). Das ist natürlich ein Sicherheitsrisiko. Wenn ich das richtig sehe, habe ich für neue Benutzer keine besonderen Berechtigungen eingeräumt.

Anmerkung: In einem älteren Forum, dass ich vor ca. einem Jahr eingerichtet habe und kürzlich von 3.0.9 auf 30.10 upgedated habe, bekommt ein "einfacher" Benutzer nicht einmal den Administrations-Bereich angeboten - gut so.

Nun die Frage: wo könnte der Fehler liegen?

Gruß!
Pajuja

[Sandra95]

Hi Pajuja,

klick doch mal im Adminbereich auf Benutzer verwalten und schau nach, in welchen Gruppen der neu registrierte ist.

[FrostAgent]

Die Berechtigungen der Gruppe bei der Gelegenheit auch gleich prüfen.

[Pajuja]

Hi Sandra95 und FrostAgent,

danke für die Tipps, hab's gleich überprüft. Ergebnis: der eben nochmal geprüfte Benutzer ist in den Gruppen "kürzlich registrierter Benutzer", "registrierter Benutzer" und in einer einzelnen im Forum kreierten Gruppe. Weder die Benutzerrechte, noch die Gruppenrechte der drei Gruppen riechen auch nur nach "Administratoren-Rechte" (überall steht in der Übersicht "keine Rolle zugeordnet" bzw. "nur lesen" oder "Standard-Rechte").

Wat nu?

[FrostAgent]

Forenberechtigungen überprüfen.
Da musst du irgendwo gemurkst haben, in der Regel ist der ACP-Zugangslink auch nur für Admins sichtbar.

[Pajuja]

Liebe Helfer,
die Tipps bis hierhin sind zwar vielversprechend (danke), leider führen sich mich aber bislang bei flüchtiger Kontrolle nicht zum Ziel. Werde in einigen Stunden nochmals Gelegenheit für eine gründlichere Prüfung haben und melde dann hoffentlich Erfolg.
Bis denne,
Pajuja

[Talk19zehn]

Hi FrostAgent,

...(...)... in der Regel ist der ACP-Zugangslink auch nur für Admins sichtbar.

Ausnahmen bestätigen die Regel....
, da du dem Mitglied bspw. Gründerrechte gegeben haben kannst, so wäre der Zutritt möglich, auch wenn der Benutzer bspw. Mitglied der "Registrierten Benutzer" (Hauptgruppe) ist.
Ebenso kannst du ein Mitglied via ACP / Berechtigungen / Administratoren aufnehmen, ohne dass dieses einen Grundüngsstatus hat oder als Admin nach außen gar erkennbar wäre. Jeweilige Rechte sind sodann noch individuell einrichtbar. Die Fehlerquelle ist demnach ggf. vielseitiger als gedacht.

Viele und vorallem beste Grüße

[Pajuja]

Hier des Rätsels Lösung: habe wohl anfangs im Admin-Bereich unter Berechtigungen/ allgemeine Berechtigungen/ Administratoren-Rechte allen Gruppen die Berechtigung "Standard-Administrator" gegeben. Ich dachte: OK, jetzt können alle Administratoren diese Gruppen anständig administrieren (seid ehrlich, hättet Ihr auch gedacht). Weit gefehlt: alle Gruppen-Mitglieder durften jetzt fleißig administrieren.

Falls da jetzt Entwickler für das nächste Update im Äther schweben und diese Zeilen lesen: überlegt doch mal, ob die Ausstattung kompletter Gruppen als Administratoren überhaupt in relevant häufigen Fällen einen Sinn macht und im ACP angeboten werden sollte ... oder zumindest mit einer warnenden Erläuterung belegt werden sollte.

Trotzdem: danke nochmals allen Helfern für die Tipps!

[Talk19zehn]

Hi Pajuja, ach du "grüne Neune", darauf muss man erst einmal kommen. Eigentlich hätte ich jene Überlegung nicht angenommen, da aus Sicht der jeweiligen Gruppe eine Betrachtung, eine Rechtevergabe stattfindet.

LG

Deinen Verbesserungsvorschlag, dass ein Warnhinweis erfolgt, solltest du ggf. auf .com einreichen...