Sicherheitsloch bei Frontside Vorschau

[klabog]

Hallo,
ich weiß nicht ob ich was übersehen habe, aber ich habe hier ein erhebliches Problem mit der Frontside Vorschau:
Ich habe einige User für das Backend mit sehr eingeschränkten Rechten freigeschaltet. Die Gruppe kann nur Artikel schreiben und Dateien in bestimmte Ordner hochladen.
Jetzt habe ich festgestellt, dass die mit der Frontside Vorschau und aktiviertem "unveröffentlichte Beiträge" anzeigen die Beiträge aller Gruppen der Frontside ansehen können. Das ist ja nicht Sinn der Sache. Die Gruppe darf auch nicht selbst veröffentlichen, daher macht es Sinn die Vorschau zu erlauben, aber natürlich nur für Inhalte der eigenen Gruppe.
Ist das ein Bug oder kann man das irgendwo abschalten? Wenn das tatsächlich ein Bug sein sollte, wie kann ich dann die ganze Vorschau abschalten?
Ich arbeite noch mit TL 2.8.1

[weke]

Ob das ein Bug ist, sei dahingestellt.
Ich würde das eher ein fehlende Feature nennen.

Abschalten kannst du die Vorschau von unveröffentlichten Elementen indem du das Template be_switch.tpl anpasst.

[Acta]

http://https://contao.org/issues/show/567

[klabog]

Leider wurde das Ticket zu dem Thema geschlossen. In der Hoffnung, dass darüber doch noch mal nachgedacht wird habe ich folgende Aktualisierung geschrieben (Vielleicht kann der eine oder andere das noch unterstützen!

Hallo Leo,
ich bin jetzt auch auf das gleiche Problem gestoßen. Bei mir handelt es sich um die Seite einer Schule, bei der jede Klasse bestimmte Bereiche hat auf die sie schreibend zugreifen kann. Auch die Lehrer haben ein Gruppe in der sie interne Vorlagen gemeinsam bearbeiten.
Den Schülern habe ich in der Mehrzahl das publizieren verboten. Die Texte müssen vom Lehrer freigeschaltet werden. Es ist also nicht praktikabel, die Schüler temporär freizuschalten. Da würden sich die Lehrer ganz schön beschweren, von der Sichtbarkeit der internen Diskussionen für alle Schüler ganz abgesehen.
Es führt kein Weg daran vorbei die Vorschau auf die Gruppe des Eigentümers oder den Eigentümer zu ermöglichen. Das muss ja nicht die jetzt eingebaute Vorschau sein. Wenn es jetzt funktioniert, die Wahl des Mitglieds in der Vorschau nur den Administratoren zu erlauben sollte doch auch eine Beschränkung der kompletten Vorschau auf Administratoren kein allzu großer Aufwand sein?
Um eine Art Vorschau für Benutzer mit Schreib- aber nicht Publikations-Rechten zu verwirklichen könnte man ein zusätzliches Publikationsfeld einführen das nur zulässt in einer bestimmten Gruppe zu publizieren.
Das würde dann so aussehen:
Felder: Publikation | Publikation ab | Publikation bis | Publikation in (eventuell Vorgabe der Backsite-Gruppe des Besitzers)
Damit könnte man dem Besitzer des Artikels eine Gruppe in der Frontside zuordnen mit der er seine Texte ansehen kann.
Vielleicht ließe sich das auch auf eine andere Weise lösen:
Jeder Benutzer (Backsite) bekommt automatisch eine Dummygruppe in der Frontside die direkt mit der UserId verknüpft ist. Diese Gruppe kann der Admin einem Mitglied (oder mehreren) zuordnen wie jede andere Gruppe auch und dort sind alle (auch unveröffentlichte) Artikel des entsprechenden Users sichtbar.
Noch ein Wort zum Aufwand:
Zitat Leo von weiter oben:

... und wäre für TYPO*light* ohnehin überdimensionert ...


Das widerspricht ja nun wirklich allen Äußerungen der letzten Zeit zum Namenswechsel!
Wenn schon zum Schreiben der Zugriff auf das Backend notwendig ist, dann muss auch ein Mechanismus da sein, der eine auf den Schreiber beschränkte Vorschau der unveröffentlichten Artikel ermöglicht.
Grüße, Klaus

[daxn]

Ob das ein Bug ist, sei dahingestellt.
Ich würde das eher ein fehlende Feature nennen.

Abschalten kannst du die Vorschau von unveröffentlichten Elementen indem du das Template be_switch.tpl anpasst.

Und wie mach ich das als normaler Admin ohne Programmier-Kenntnisse?

Grüße, Daxn