Geschützte Inhalte und Suchfunktion

[contaotester]

Hallo, ich habe Verständnisfragen zu geschützten Inhalten in Kombination mit der Contao-Suchfunktion.

Dazu folgendes Beispiel: Nach einer Veranstaltung gibt es einen öffentlichen Bericht, sowie einen internen Bericht für Mitglieder. Theoretisch könnte beides auf einer Seite untereinander positioniert werden (gehört ja zur selben Veranstaltung): Das Inhaltselement, welches den internen Bericht enthält, einfach auf "geschützt" stellen, damit dieser Text-Abschnitt nur eingeloggten Frontend-Mitglieder angezeigt wird. Öffentliche Besucher sehen beim Aufruf der Seite nur den öffentlichen Text, eingeloggte Mitglieder sehen sowohl den öffentlichen Text, als auch den internen Bericht darunter.

Problem ist nun aber, dass Textauszüge aus dem internen Bericht in den (öffentlichen) Suchergebnissen der Contao-Suchfunktion auftauchen können, wenn der Suchindex als Frontend-Mitglied aufgebaut wurde (der interne Bericht soll von berechtigten Mitgliedern auch über die interne Suche gefunden werden können).

Daher meine Überlegung, ob die Berichte besser auf 2 separaten Seiten untergebracht werden sollten (eine öffentlich, eine komplett geschützt) und es beim öffentlichen Bericht nur einen Link zum internen Bericht gibt, der nur eingeloggten Frontend-Mitgliedern angezeigt wird.

Könnt ihr bestätigen, ob ich folgendes richtig erfasst habe?

Fall 1: Wenn im Backend eine komplette Seite/Newsarchiv/Eventkalender für eine Frontend-Mitgliedergruppe geschützt ist, sind die Inhalte nicht öffentlich zugänglich - auch nicht über die (öffentliche) Contao-Suchfunktion. Und auch nicht, wenn im Backend der Suchindex mit einem Frontend-Mitglied aufgebaut wird. Die geschützten Inhalte werden in den Contao-Suchergebnissen nur angezeigt, wenn ein Frontend-Mitglied der berechtigten Gruppe eingeloggt ist. Soweit korrekt?

Fall 2: Wenn ein Inhaltselement innerhalb eines Artikels/News/Events geschützt ist, die jeweilige Seite selbst aber nicht geschützt (also öffentlich) ist, dann werden die geschützten Inhalte auch nur eingeloggten Frontend-Mitgliedern angezeigt, ABER die geschützten Inhalte können bei der Contao-Suchfunktion in den (öffentlichen) Suchergebnissen auftauchen, wenn man den Suchindex im Backend als Frontend-Mitglied aufbaut. Daher sollten besser keine geschützten Inhalte auf nicht geschützten Seiten verwendet werden, wenn die Suchfunktion auch für den internen Bereich genutzt wird. Soweit korrekt?

Fall 3: Wenn es nun einen öffentlichen Text gibt (beispielsweise eine Ankündigung zu einer Veranstaltung), zu der es zusätzliche geschützte Informationen für eingeloggte Frontend-Mitglieder geben soll (und der Suchindex als Frontend-Mitglied aufgebaut wird, damit die Suche auch intern funktioniert) wäre dann die empfohlene Vorgehensweise, die geschützten Informationen auf einer separaten Seite/Event/Newsartikel, welche selbst komplett geschützt ist, zu schreiben, und bei dem öffentlichen Text nur ein geschütztes Inhaltselement zu ergänzen, welches beispielsweise einen Link zur geschützten Seite enthält. Um dieses Inhaltselement sollte dann < !-- indexer::stop -- > und < !-- indexer::continue -- > gesetzt werden, damit dieser geschützte Text (Link auf die geschützte Seite) nicht in den öffentlichen Suchergebnissen auftaucht. Korrekt?

Danke

[contaotester]

Zu Fall 2: Kann es sein, dass sich dieses Verhalten mit dem Sicherheitsupdate vom 28.08.2025 geändert hat?

In der derzeitigen Online-Demo mit Version 5.6.0 ist das Problem noch vorhanden, in einer lokalen Testinstallation mit Contao 5.6.2 kann ich es allerdings gerade nicht mehr reproduzieren.

Soweit ich das überblicke, werden geschützte Inhaltselement nun im Quelltext mit indexer-Kommentaren versehen?

HTML-Code:

<!-- indexer::stop --><!-- indexer::protected -->
<div class="content-text">
<h2>Mitgliedertext</h2>
<div class="rte">
<p>Mitgliedertext</p>
</div>
</div>
<!-- indexer::continue -->

Wenn ich in 5.6.2 den Suchindex im Backend als Frontend-Mitglied aufbauen lasse, ist dieses geschützte Inhaltselement allerdings nun weder über die öffentliche Frontend-Suche auffindbar, noch wenn man als Frontend-Mitglied angemeldet ist.

Ich vermute, das liegt an dem "indexer : stop". Aber wozu dient dann dieser "indexer : protected"-Kommentar?

Ich verstehe leider nach wie vor noch nicht so ganz, wie das mit den geschützten Inhaltselementen auf öffentlichen Seiten funktionieren soll. Beziehungsweise, warum ist es überhaupt möglich, einzelne geschützte Inhaltselemente zu erstellen? Nach meinem Verständnis wird in der Suchfunktion nur geprüft, ob der Nutzer eine Zugriffsberechtigung für ganze Seiten hat, nicht einzelne Inhaltselemente - oder übersehe ich da etwas?

[Spooky]

Korrekt, deswegen werden geschützte Inhaltselemente nicht in den Suchindex aufgenommen.

[contaotester]

Ok, danke. Diese Änderung hat also größere Auswirkungen auf Bestandsprojekte, falls in der config.yaml "index_protected: true" definiert ist (damit geschützte Seiten indiziert werden) und wenn der Suchindex im Backend als Fontend-Mitglied aufgebaut wird.

• Einzeln geschützte Inhaltselemente (egal ob innerhalb von öffentlichen oder geschützten Artikeln/News/Events) werden nicht mehr in den Suchindex aufgenommen und sind somit auch nicht mehr für berechtigte Frontend-Mitglieder über die Suchfunktion auffindbar.
• Folglich sollten Inhaltselemente nicht einzeln auf "geschützt" gestellt werden, wenn ein Zugriffsschutz bereits für die übergeordnete Seite, Newsarchiv oder Kalender aktiviert wurde (die Suchfunktion prüft nur die übergeordnete Seitenberechtigung).
• Zu meinem oben genannten Beispiel Fall 3: Die manuell per HTML-Element ergänzten "indexer :: stop" und "continue" können wieder gelöscht werden, da inzwischen generell alle geschützten Inhaltselemente diese HTML-Kommentare enthalten und nicht mehr indiziert werden.

[Spooky]

Diese Änderung

Es ist keine wirkliche Änderung. Es war schon immer so - nur unter bestimmten Bedingungen nicht. Das wurde behoben.