Ip-Adresse ist für alle sichtbar

[ShadowOfMe]

hallo.
ich habe ein kleines aber schwerwiegendes problem..
unter dem who-is-online kann jeder user die ip-adressen der anderen sehen...
im acp habe ich bei den berechtigungen schon geschaut, wo man das einstellen kann, aber ich finde es nicht..

mein forum: starkepferde.com
testuser
pw: !Testuser!

kann mir jemand weiterhelfen? vielleicht ist es ja ganz simpel und ich bin nur zu blond um auf die lösung zu kommen.
an mods läuft im moment nur minichat, automod und phpbb impressum - falls das wichtig sein sollte


vielen dank schonmal und eine gute nacht
shadow

[mad-manne]

unter dem who-is-online kann jeder user die ip-adressen der anderen sehen...

Hallo ShadowOfMe,
wie kommst du zu der Annahme, dass jeder die IP der Benutzer sehen würde??
Ich habe mich eben bei die angemeldet und sehe nichts dergleichen!

Du als Administrator kannst diese Informationen in dieser Liste sehen, aber normale Benutzer im Normalfall eben nicht.

Gruss,
Manne.

[ShadowOfMe]

hallo!
weil mehrere user mir geschrieben haben, das sie die ip-adressen sehen.. und wenn ich die berechtigung der mitglieder teste, sehe ich die ip-adressen auch..

[mad-manne]

Aber mit dem Testuser siehst do doch auch keine IPs ??

Ich bin zugegebenermassen immer noch nicht der 3.x-Experte, habe das aber grade mal auf meinem Board getestet ...
Soweit ich das sehe, sieht man die IPs, sobald man nur ein (beliebiges ??) Moderatorenrecht hat

Bei mir hat ein User Moderationsrechte in der gallery von nv und der sieht auch die IPs.

Es wäre aber besser, wenn sich hier mal einer der Erfahrenen zu Wort meldet und meine Vermutungen bestätigt, dass ein beliebiges Moderatorenrecht bereits die IPs "freischaltet"

Gruss,
Manne.

[Elsensee]

Hm... So wie ich das sehe, kann man in der Wer ist online?-Liste nur die IP-Adressen der User sehen, wenn man Administrator ist. Vielleicht wurde dort am Code etwas verändert.

In der viewonline.php in Zeile 330 bei einem original unmodifiziertem phpBB 3.0.10 müsste folgendes stehen:

Code: Alles auswählen

        'USER_IP'            => ($auth->acl_get('a_')) ? (($mode == 'lookup' && $session_id == $row['session_id']) ? gethostbyaddr($row['session_ip']) : $row['session_ip']) : '', 

Wenn das dort nicht steht, haben wir das Problem gefunden.

@mad-manne
Ich glaube, dass man als Moderator nur die IPs im MCP oder in der NV Gallery sehen kann. Bin mir aber nicht sicher. Auf jeden Fall gibt es im ACP kein Recht für Moderatoren, womit man einstellen kann, dass sie die IPs in der Wer ist online?-Liste sehen können. Das widerspräche ja auch dem Code.

[mad-manne]

Hmmm ... ich muss mich korrigieren

Der bei mir getestete Benutzer hat durch die gallery auch ein AdminRecht("Kann Alben und Berechtigungen hinzufügen und ändern") umd demnach auch Zugang zum ACP.

Das widerum stützt die Aussage von Elsensee, dass nur Benutzer mit mind. einem ADMIN-Recht die IPs sehen können!

@ ShadowOfMe: Vorausgesetzt, dass du keine Fehler beim EInbau eines MODs gemacht hast, haben dann die entsprechenden Benutzer deines Boards offenbar mind. ein administratives Recht Da soltest du mit der Ursachenforschung ansetzen, wenn die viewonline.php nicht fehlerhaft ist.

Gruss,
Manne.

[AYYILDIZLAR]

Hm... So wie ich das sehe, kann man in der Wer ist online?-Liste nur die IP-Adressen der User sehen, wenn man Administrator ist

Ja, das ist auch so. Man kann halt mit dem entsprechendem Code, das auch so einstellen das es Mods oder wer auch immer sehen kann.

Ich habe das auch mit einer Mod (WWH)schon so gemacht, wo eigentlich für jeden sichtbar war bzw sein sollte, jetzt nur noch für Administratoren sichtbar ist.Hat aber jetzt nichts mit dem Thema zu tun.

Deswegen wie Elsensee schon sagt, so lange am Code nichts geändert worden ist, sind die IP's im Wer ist Online? Bereich nur für Administratoren zu sehen.

Grüße

[ShadowOfMe]

Hallo,
ich nochmal...
habe jetzt die letzten tage alle berechtigungen durchgewühlt und ich finde den fehler nicht.
die viewonline.php ist korrekt.. langsam aber sicher verzweifel ich. habe das 'wer-ist-online' im moment deaktiviert, aber das ist ja irgendwie auch doof.
wenn ich mich als testuser anmelde, sehe ich keine ip-adressen. wenn ich aber die berechtigungen übernehme, sehe ich die ip-adressen. *seufz* das macht das testen was welcher user sehen kann natürlich irgendwie schwierig.

hat noch jemand eine idee?

sorry das ich so nerve.. aber meine user wollen das 'wer-ist-online' logischerweise sehen. aber eben ohne das die ip öffentlich ist.

schönen ostermontag-abend noch
shadowofme

[Crizzo]

Hi,

dann würde ich dem Testuser vertrauen, bei den Berechtigungen kann man sich zwar in der Regel zu verlassen, aber manche Rechte sind damit einfach nicht testbar.

[modernist]

wenn ich mich als testuser anmelde, sehe ich keine ip-adressen. wenn ich aber die berechtigungen übernehme, sehe ich die ip-adressen.

Das ist leider Standard bei phpbb, daß man bei der Rechteübernahme bei viewonline.php mehr sieht als der übernommene Nutzer eigentlich zu sehen bekommt.

hat noch jemand eine idee?sorry das ich so nerve.. aber meine user wollen das 'wer-ist-online' logischerweise sehen. aber eben ohne das die ip öffentlich ist.

Als Beruhigungsplacebo kannst du in der viewonline_body.html einfach was ergänzen:

Finde

Code: Alles auswählen

			<td>{user_row.USERNAME_FULL}<!-- IF user_row.USER_IP --> <span style="margin-left: 30px;">{L_IP}: <a href="{user_row.U_USER_IP}">{user_row.USER_IP}</a> &#187; <a href="{user_row.U_WHOIS}" onclick="popup(this.href, 750, 500); return false;">{L_WHOIS}</a></span><!-- ENDIF -->
				<!-- IF user_row.USER_BROWSER --><br />{user_row.USER_BROWSER}<!-- ENDIF --></td>

Ersetze es mit

Code: Alles auswählen

			<td>{user_row.USERNAME_FULL}<!-- IF user_row.USER_IP and U_ACP --> <span style="margin-left: 30px;">{L_IP}: <a href="{user_row.U_USER_IP}">{user_row.USER_IP}</a> &#187; <a href="{user_row.U_WHOIS}" onclick="popup(this.href, 750, 500); return false;">{L_WHOIS}</a></span><!-- ENDIF -->
				<!-- IF user_row.USER_BROWSER and U_ACP --><br />{user_row.USER_BROWSER}<!-- ENDIF --></td>

Dann sehen die Angaben zu Browser und IP nur noch Mitglieder der Admingruppe. Bei korrekter Rechtevergabe via ACP besteht dazu aber kein Anlaß, deshalb ja auch Placebo.