Ihre Meinung zu dieser Seite?
Deutsch Deutsch English English

Einleitung

Ein Webauftritt entwickelt sich in der Regel allmählich. Erst mal werden Seiten erzeugt, auf die jeder zugreifen darf. Dann kommen Seiten hinzu, die nicht jeder sehen soll. Man legt eine Benutzergruppe an und fügt dort die Leute, die die Seite sehen sollen, hinzu. Die Sichtbarkeit der Seite wird auf "registriert" gesetzt und alles funktioniert wie erwartet. Für Seiten, auf die teilweise andere Benutzer zugreifen dürfen, wird die nächste Gruppe angelegt und so weiter. Seit Website Baker 2.7 ist es auch möglich, dass Benutzer Mitglied in mehreren Gruppen sind.

Die Webseiten entwickeln sich weiter und irgendwann sind sie so zahlreich geworden, dass bestimmte Seiten von bisherigen Benutzern verwaltet werden sollen. Man legt also z.B. eine Gruppe Editoren_Marketing an und erlaubt dieser Gruppe, die Marketing-Seiten zu verwalten. Ganz groß ist das Vertrauen in diese Leute aber doch nicht, man entzieht dieser Gruppe also das Recht, Seiten der Typen Code oder Import Section anzulegen. Einige Mitglieder der Gruppe Editoren_Marketing sind auch Mitglieder in anderen Gruppen, die aber gar keine Seiten im Backend bearbeiten können.

Fallstrick 1

Was denken Sie, funktioniert das wie erwartet? Nur Mitglieder von Editoren_Marketing dürfen die Marketing-Seiten bearbeiten, und diese Gruppe darf keine Code-Seiten anlegen. Können Sie sicher sein, dass nun keine Code-Seiten angelegt werden?

Die Antwort lautet leider NEIN.

Website Baker betrachtet nämlich nicht nur die Berechtigungen der Gruppe, die die Seiten bearbeiten darf, sondern die aller Gruppen, zu denen der angemeldete Benutzer gehört. Die anderen Gruppen dürfen keine Seiten bearbeiten, und daher haben Sie sich wahrscheinlich nicht die Mühe gemacht, diesen Gruppen die Rechte zum Anlegen von z.B. Code-Seiten zu entziehen. Wenn ein Benutzer gleichzeitig Mitglied in so einer Gruppe ist, kann er also die Marketing-Seiten auch mit Code aufpeppen (oder ihren gesamten Webauftritt zunichte machen).

Fallstrick 2

Angenommen Sie haben ein Dutzend Benutzergruppen, und um den Fallstrick 1 zu überspringen, haben Sie nun allen 12 Gruppen die Rechte für bestimmte Modultypen entzogen. Was denken Sie, ist nun alles für alle Zeiten in Ordnung?

Die Antwort lautet leider NEIN.

Sobald Sie nämlich ein weiteres Modul installieren, welches zwar sehr praktisch ist, aber doch lieber nur von Administratoren eingesetzt werden sollte, haben Sie nämlich wieder eine Menge Arbeit vor sich:
Sie müssen wieder alle 12 Benutzergruppen durchgehen und in jeder den Zugriff auf dieses Modul entfernen. Ursache dafür ist, daß Website Baker Zugriff auf alles erlaubt, was nicht explizit verboten wurde. Mit anderen Worten: Für die Rechteverwaltung wird eine Blacklist verwendet, auch wenn es im Backend so aussieht, als würden wir eine Whitelist verwenden.