Frontend-Vorschau gestattet Zugriff auf geschützte Seiten!

**jogoto** · 19.12.2011, 23:32

Ich habe folgende Merkwürdigkeit in einer 2.9.5 Installation. Ein Benutzer, der im Backend nur Zugriff auf einen Kalender hat, kann sich über die Frontend-Vorschau und der Option "Unveröffentlichte Elemente: anzeigen" Zugriff auf alle Bereiche verschaffen, die er mit seiner normalen Mitgliedsanmeldung gar nicht sehen kann.
Das ist schon kein Sicherheitsloch mehr, das ist der Supergau.
Ist das ein bekannter Fehler (ich hab nichts gefunden)?
Lässt sich das beheben? Update auf 2.10?
Kann man alternativ die Frontend-Vorschau für alle abschalten?

Ich bitte euch dringend um Hilfe, da ich sonst eigentlich die ganze Seite abschalten muss.

***xchs*** · 19.12.2011, 23:46

Ein Ticket wurde dazu mal erstellt: https://github.com/contao/core/issues/567

**ways2web** · 20.12.2011, 00:18

die leichteste Lösung wäre den frontendvorschau-button erst ma nur admins anzubieten... aber wer die url dazu kennt, könnte das natürlich umgehen...

**jogoto** · 20.12.2011, 06:44

Das ist ja der Hammer!
Von einem "nicht vertretbaren Aufwand im Vergleich zum Gewinn" zu sprechen. Das ist schlicht eine Sicherheitslücke. Jeder Benutzer, egal wie eingeschränkt, kann sämtlichen Inhalt der Seite im Frontend lesen. Ich glaube nicht, dass das allgemein bekannt ist. Es macht Contao für viele Projekte leider einfach unbrauchbar.
Ich hab die Frontend-Vorschau jetzt radikal lahm gelegt, indem ich die preview.php umbenannt habe. Mal sehen, was das noch für Auswirkungen hat.

Verstehe ich da eigentlich was falsch? Die Frontend-Vorschau ist ein schönes Tool, um Seiten und Artikel im Frontend zu betrachen, bevor ich sie veröffentliche. Dazu gibt es für den Admin ja sogar noch die Möglichkeit den Frontend User auszuwählen und Berechtigungen zu testen.
"Unveröffentlichte Elemente: anzeigen" sollte doch eigentlich nur die unveröffentlichten Elemente anzeigen, auf die das gewählte Mitglied nach einer Veröffentlichung auch Zugriff hat, oder?
Nun kann ich aber nur wählen zwischen die Seite sehen, wie sie ist, ohne Vorschau auf gerade neu erstellten Inhalt oder die Seite sehen, wie sie nie sein wird, da ich mit dem Einblenden von unveröffentlichtem Material auch veröffentlichtes aber verstecktes Material zu sehen bekomme.
Ich bekomme keine Vorschau darauf, wie unveröffentlichtes Material für die verschiedenen Besucher (Mitglieder) zu sehen sein wird.

**ways2web** · 20.12.2011, 19:22

Also die Antwort find ich auch fast ne Frechheit. Aber ein direktes Sicherheitsproblem seh ich in einer Vorschau nicht, solange der user im Backend nur das machen darf und nur das sehen darf was er soll.
Als anständiger Entwickler arbeitet man so oder so nie direkt an produktiv-Version

Alles auf einer Lokalen oder Arbeitskopie.. wie man es nennen möchte.... und synct das ganze dann mit syncCto... und online kann man die files ja soweit anpassen, wie man es braucht..bzw auch die Benutzer anders halten.

viele grüße
Oliver

**daxn** · 21.03.2012, 16:41

Gott sei Dank habe ich diesen Beitrag gefunden. Mir geht es wie einem andren User. Bin auch Lehrer und habe ca. 28 Schülern eingeschränkte Benutzerrechte gegeben. Vor wenigen Tagen bin ich aus allen Wolken gefallen, als ich sah, dass die Schüler alle in der Frontend-Vorschau auf das eigentlich geschützte "virtuelle Lehrerzimmer" zugreifen konnte. Das wirbelt meine bisher über Monate gemachte Arbeit mit Contao ganz schön durcheinander, denn die Inhalte dürfen auf keinen Fall von Schülern gelesen werden...

Ich gebe zu, dass ich null Ahnung von Programmierung habe und weiß daher auch nicht, was und wie aufwändig ein "ACL-System" (Core-Issue #567) ist, aber wer ein so tolles CMS ins Leben gerufen hat, wird doch hoffentlich auch noch dieses Problem, das ich im übrigen auch als Sicherheitslücke ansehe (was denn auch sonst, wenn Backend-User etwas lesen können, dass sie eigentlich gar nicht lesen dürften), lösen...

Wer hat, solange das Problem ja anscheinend nicht gelöst wird, denn jetzt eine praktikable Lösung für einen normalsterblichen Admin wie mich, der glücklich ist, dass er mit Peter Müller & Co. so weit gekommen ist?
- Prieview-Button irgendwie wegmachen (hab ich gelesen), und dann...?
- Schüler am Lehrerrechner mit vollem Admin-Zugriff die Frontendvorschau kontrollieren lassen....?
- oder doch kurzzeitige Veröffentlichung mit anschließender Korrektur (halte ich für sehr aufwendig)...?

Bin für Hilfe wirklich dankbar. Und bitte Leo Feyer, finde eine Lösung....!!!!

Danke & Grüße
Daxn

P.S. Kleiner Denkanstoß: Es gibt doch sogar ein "Handbuch für Redakteure". Das war für mich jedenfalls ein klares Zeichen: Contao + Schülerredakteure funktioniert!

**backbone** · 21.03.2012, 22:43

Folgende Angaben OHNE GEWÄHR:

Das einfachste wäre evtl. die preview.php zu löschen (natürlich vorher Backup), damit ist GAR KEINE Vorschau mehr möglich.
Und danach auf syncCto setzen und in einem separatem Redakteurs/Dev-System arbeiten (syncCto brauch aber etwas mehr als den üblichen 0815 Webspace).

**daxn** · 29.03.2012, 04:50

hi backbone,

danke für den tipp, ist für mich leider keine option wegen der besonderen arbeitsweise mit meiner schülerredaktion.
ich hab jetzt für mich einen vorübergehend anderen weg gefunden.
1. den Link zum geschützten bereich schalte ich während die schüler daran arbeiten mit "im menü verstecken" im backend ab
2. nach der bearbeitung der seite durch die schüler klicke ich "im menü verstecken" wieder weg und deaktiviere die benutzergruppe "schüler" im backend für den rest der woche (die schüler müssen momentan nicht von zuhause aus arbeiten)

ich weiß, keine elegante variante (und mit link kopieren wohl auch umgehbar, vermute ich), aber für den moment tut's das auch erstmal...

trotzdem nochmal vielen dank
daxn

**althoffc** · 17.03.2013, 17:52

Hallo,
ich habe das gleiche Problem, das Redakteure in der Frontend-Vorschau Inhalte sehen können, welche sie selbst sowohl im Backend als auch im Frontend weder bearbeiten noch sehen dürfen/können.
Die können somit in der Frontend-Vorschau sämtliche Inhalte sehen, welche sie nicht sehen dürfen.

Wie kann ich die Frontend-Vorschau nur auf Admin-User einschränken, oder die Option "Verstecke Inhalte anzeigen" abschalten?

Wäre für jeden Tipp dankbar.

Gruß
Carsten

**andre.5tz** · 18.03.2013, 07:53

Morgen,

ich kann mich der Frage nur anschließen.

Habe den Thread gerade nochmal gelesen und auch mal kurz getestet. So wie es jetzt programmiert ist, kann man/ich Contao im Grunde für ein Intranet mit mehreren Bentuzern nicht verwenden!
Daher die dringende Bitte, dass Konzept der Frontend-Vorschau noch mal zu überdenken, leider wurde das Ticket geschlossen.

Viele Grüße
André

P.S.: Am Besten wäre natürlich eine updatesichere Lösung, z.B. ein Eintrag in der localconfig.

**andre.5tz** · 18.03.2013, 10:18

So wie es aussieht, habe ich eine updatesichere Lösung gefunden, so dass nur noch ein Admin die versteckten Bereiche sieht.

Im Backend -> Templates ein neues Template erstellen. Dafür das Template be_switch.tpl, auswählen und in den Stammordner legen.

In dem neu erzeugten Tepmpate be_switch.tpl folgende Anpassung vornehmen:

Zeile 31 "<?php endif; ?>" ausschneiden und nach Zeile 37 "<input type="submit" class="tl_submit" value="<?php echo $this->apply; ?>" />" einfügen. Speichern nicht vergessen.

Wenn alles richtig gemacht wurde, sieht nur noch ein Admin die vollständige Frontendvorschau. Alle anderen sehen lediglich noch den Button "Neu laden" und das "X" zum Schließen der Frontendvorschau.
Die Lösung ist nicht befriedigend, aber in meinen Augen besser als alles "offen" zu lassen. Zumdindest ist sie jedoch updatesicher.

Für diejenigen die html5 nutzen ist die Datei be_switch.html5 anzupassen, im Zweifel sollte man beide gleich anpassen.
Die Berechtigungen können in dem Template auch auf bestimmte Benutzergruppen abgestellt werden.

Lösungsvorschlag ohne Gewähr. Wäre schön, wenn das nochmal jemand testen und bestätigen könnte.

VG
André

Nachtrag: Contao 2.11.9

**althoffc** · 18.03.2013, 11:35

Hallo andre.5tz,

vielen Dank für die kurze Anleitung. Hat bei mir sofort funktioniert.
Damit kann diese Lücke erst einmal nicht mehr genutzt werden und ich kann wieder beruhigt schlafen.
Ich war ja doch aus allen Wolken gefallen, als ich davon erfahren habe. Ein Vereinsmitglied hat mich auf diese Möglichkeit/Lücke beim Anzeigen versteckter Inhalte in der Frontend-Vorschau aufmerksam gemacht.
Daraufhin habe ich erst mal hier im Forum gesucht ...

Gruß
Carsten

**althoffc** · 18.03.2013, 12:00

Hallo zusammen,

könnte vielleicht folgender Lösungsansatz mit relativ geringem Auswand realisiert werden?

Ein Backend-Admin kann in der Frontend-Vorschau zur Anzeige von versteckten Inhalten gezielt einen Frontend-User auswählen, dessen Zugriffsberechtigungen für die Anzeige des Frontends herangezogen werden.

Wäre so etwas nicht für alle Backend-User möglich, wobei die Auswahl des Frontend-Users auf eine dem Backend-User zugeordnete Mitgliedergruppe oder einem Mitglied eingeschränkt wäre?

Es müsste dazu eine Verknüpfung zwischen Backend- und Frontend-User hergestellt werden. Dies könnte doch über neue Felder "fe_member" und "fe_member_group" in tl_user abgebildet werden.
Ist keine Verknüpfung hinterlegt, wird eine Anzeige versteckter Inhalte in der Frontend-Vorschau gar nicht erlaubt.

Die Pflege dieser Felder sollte wie gewohnt auf bestimmte Backend-User (z.B. Admin) eingeschränkt werden können.

Könnte so etwas nicht auch als Erweiterung realisiert werden?

Gruß
Carsten

**takkk** · 03.07.2014, 14:33

leider besteht das problem noch immer in der version 3.2.
sehr unschön, wenn der mitarbeiter so an die lohnliste vom chef gelangt.

kennt jemand eine lösung, ohne das template umzuschreiben oder die datei "preview.php" zu löschen?