• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF2.1 Guest/unregistered/unconfirmed User können Profildaten aller User bearbeiten

torstendlp

Aktives Mitglied
Lizenzinhaber
Registriert
12. Jan. 2019
Beiträge
3
Punkte
26
Hallo,

Xenforo Version: 2.1.5.
Neuinstallation
Installierte AddOns inkl. Version: TH Image Optimizier
PHP Version: 7.1.9 FPM
MySQL Version: 5.7

------------------------------------------------
Erläuterung des Fehlers:

ich habe ein Problem mit der Rechtvergabe, das ich einfach nicht gelöst bekomme.
Gast-User (also Usergruppe unregistered/unconfirmed) haben bei den Profilen aller meiner User (sowohl in den Overlays, als auch auf den Profilseiten) Zugriff auf den Moderatoren-Tools Button und können dort auf "Bearbeiten" klicken (andere Funktionen wie verwarnen etc. stehen nicht zur Verfügung) und dann auch die Seite ../members/[username]/edit einsehen und dort Änderungen vornehmen.

In den Benutzerrechten habe ich natürlich für Gäste jegliche Moderatoren-Rechte aus "nein" gestellt, aber auch schon "Niemals" probiert, um etwaige Probleme mit den kaskierenden Rechten ausschließen zu können.

Ich bin hier wirklich mit meinem Latein am Ende.

Für andere User-Gruppen die normalerweise auch keine Mod/Admin-Rechte haben sollen, besteht das Problem nicht, da ist alles, wie es sein soll.

Die Seite möchte ich hier natürlich nicht posten, damit nicht (noch mehr) Leute, die da evtl. Unfug treiben wollen auf die Möglichkeit aufmerksam werden.

Vielen Dank vorab für Eure Tipps zur Lösung des Problems!
 
Kann ich mir gerade nicht vorstellen, wenn alles auf nein steht ist das nicht möglich.
Link?
 
Einen Link möchte ich hier nicht posten, siehe oben, um nicht mehr Leute zu Missbrauch "einzuladen".

Aber hier ist ein Screenshot, bzw. ein Ausschnitt, auf dem eindeutig zu sehen ist, dass der Besucher (in dem Fall ich) nicht angemeldet ist, aber dennoch den Button hat.

Klick darauf zeigt den Link "Bearbeiten" und dann kommt man auf die edit-Seite

IMG_20191111_174347.jpg
 
Und was das sein soll können wir nicht raten. Sperre dein Forum und richte für einen ein Testaccount als Admin zum Testen ein.
 
Wie @Alluidh gesagt hat, es kann sich nur um eine Einstellung handeln, sonst hätten viele Foren diese Lücke und das wäre sicher aufgefallen.
 
Ich habe den Fehler gefunden. Keine Ahnung, wie sowas passieren konnte.

Beim Stöbern durch die Datenbank ist mir aufgefallen, dass die Permissions bei Änderungen an unregistered/unconfirmed im BE nicht für die entsprechende ID der Usergruppe unregistered, also 1, in der DB geändert wurden, sondern für eine Usergruppe mit der ID "17", die wiederum aber in der Tabelle der Zuordnung von Usergruppen zu IDs gar nicht existiert hat. Ich habe dann ein Backup der DB gemacht und bei allen der Usergruppe 17 zugeordneten Permissions und sonstigen Zuordnungen wie permission combinations die 17 gegen die ID 1 getauscht. Und nun werden die Einstellungen exakt so angewendet, wie sie im Backend für unregistered/unconfirmed vorgesehen waren.

Ich habe zwar keine Idee, warum offensichtlich die Einstellungen im Backend für unregistered/unconfirmed nicht der 1 als default ID der Gruppe zugeordnet waren, sondern der ansonsten nicht existenten ID 17 und wie diese falsche Zuordnung entstehen konnte, obwohl ich nur die Standard-Usergruppen nutze, aber auf jeden Fall ist das Problem jetzt behoben.
 
Zurück
Oben