@Kirby Warum? Hier und auch auf xenforo gelten die Addons vom AndyB als "gut" grundsätzlich gehen von diesen Addons keine Sicherheitsrisiken aus, ein "lassen lieber die Finger davon" finde ich, gerade Neulingen gegenüber nicht in Ordnung! Zumal Andy einen sehr guten Support bietet. (alles meine Meinung) Gruß Joachim
Als geranntes Kind kann ich zu
@Kirby s Ansage etwas beitragen.
Also 1.) muss man bei Kirbys Ansage berücksichtigen, dass er aus Sicht eines Entwicklers argumentiert, wenn auch etwas pauschal verkürzt, aber durchaus richtig.
In meinem Fall ging es darum, dass ein Nutzer einer bestimmten Gruppe seine Themenüberschriften auch nachträglich, nach Ende der sonst üblichen Editierzeit, editieren können sollte. Dazu hatte/hat Andy auch ein Addon das ich hierfür einsetzte.
Was mir als erstes entgangen war ist, dass ein normaler Nutzer mit dem Add-on absolut alle Themen, selbst die von Moderatoren/Admins ändern konnte, weil Andy es nicht für nötig hielt die sonst ganz selbstverständlichen Rechteprüfungen zu implementieren und die Änderungsmöglichkeit entweder auf die Nutzergruppe oder die Beiträge des Nutzers einzugrenzen. Davon stand aber nichts in der Beschreibung zum Tool. Es ist auch absolut unüblich dass ein Tool, das nicht ausdrücklich als ADMIN-Tool gekennzeichnet ist, per Default Adminrechte hat UND diese Rechte dazu noch jedem verleiht, der es nutzen kann.
Da ich von vB gewohnt war Dinge nachträglich z.B. in Templates zu implementieren und AndyB das nicht nachträglich anpassen wollte/konnte, schritt ich - aus meiner Sicht durchaus erfolgreich - zur Tat, die nötigen Prüfungen in den Templates auszuführen, um so zu verhindern, dass alle User mit dem Tool fremde Themenüberschriften ändern konnten. Das klappte bis dahin auch ganz gut.
Zum Glück (muss ich heute sagen) demonstrierte mir ein Profi mit meiner Zustimmung, wie einfach es
für jeden Nutzer war, diese Schranken zu umgehen, da diese Einschränkungen nicht direkt im Toolcode vorhanden waren.
Seitdem bin ich mit Tools von Andy sehr vorsichtig. Man erkennt selbst als eher erfahrener Admin nicht sofort die Gefahren, die in seinen Tools liegen können. Andys Tools mögen auf den ersten Blick sehr nützlich erscheinen, sie bergen aber allzu oft auch unabsehbare Gefahren, weil man als normaler Admin davon ausgeht, dass die Tools zumindest rudimentäre Rechte (XF-Standard) beachten oder nur mit explizit gesetzten Adminrechten allumfassende Aktionen erlauben.
Anscheinend bin ich auch nicht der Einzige der "davon ausgeht" und die Tools gutgläubig einsetzt, aber sehr wohl der Einzige, der von einem gutartig Motivierten gezeigt bekam was er selbst nicht zu glauben wagte.
Jetzt fehlt nur noch die nötige böswillig Motivation eines Users, in Bezug auf ein Forum, das derlei Tools einsetzt. (...)
Insofern sollte man die Warnung hier durchaus ernst nehmen, denn auch andere seiner "Quick&Dirty"-Tools konnten hier schon unerwartete Seiteneffekte auslösen.