Kalender in Handy - Berechtigungen



  • Hi,
    ich habe bei uns mehrere Kalender, wobei manche öffentlich und manche nicht öffentlich sein sollen. Den Öffentlichen gebe ich dafür im Rechtemanagement den Nutzer "öffentlicher Nutzer" und binde sie über den allgemeinden webcal-Feed ein (unten rechts).

    Die Frage ist jetzt: Wie gestalte ich einen nicht öffentlichen Kalender, so dass er nur von Benutzern eingebunden werden kann (auf ihr mobile device), die dafür eine Berechtigung haben?
    Wenn ich über webcal einen Kalender in ein z. B. Android device einbinde (über den Feed mit dem Sicherheitstoken – ical abonnieren im Kalender Menü) , gibt es die Möglichkeit, dies ohne und mit Passwort-Login zu tun. Ich habe jetzt den gleichen Kalender mit und ohne Passwort des Users eingebunden, sehe aber keinen Unterschied. Ich dachte erst, alle Beiträge, die den Haken "nur für angemeldete Personen sichtbar" haben, sind nur für Nutzer zu sehen, die den Feed mit Namen + Login einbinden – aber sie sind auch da nicht zu sehen.

    1. Wie stelle ich also sicher, dass nur berechtigte Personen den Kalender-Feed einbinden können?
    2. Wenn ich den Haken "nur für angemeldete Personen sichtbar" setzte ist er im eingebundenen Kalender nie sichtbar und ich muss mich im System anmelden?

    Danke Euch und Grüße
    Christoph Busch





  • Hi Mr.T.,
    danke Dir - das heißt also, mann kann über den String mit dem Sicherheitstoken einen spezifischen Kalender einbinden, aber es gibt kein Rechtemanagement bzw. dieses wird beim Einbinden ignoriert (Wenn ich mich also mit meinen Nutzernamen beim Einbinden einlogge, gibt es keine Rechteprüfung, die an den übertragenen Nutzernamen gebunden ist -> so war die Frage auch im anderen Threat).
    Das bedeutet damit auch, dass Einträge, die den Haken "nur für eingeloggte Benutzer sichtbar" besitzen, über iCal nicht freigegeben werden – da keine Nutzerprüfung stattfindet.

    Damit habe ich erst mal einen Status quo. Danke. Vielleicht bringe ich das als Wunsch irgendwo mit ein – die Rechteprüfung und Voraussetzung von technischer Seite ist ja im System schon vorhanden.

    Euch ein gesegnetes neues Jahr!
    Christoph



  • @CHB Das ical abs hängt immer mit den normalen Kalender rechten zusammen. Wenn ein user den Kalender sehen kann, kann er ihn auch abonnieren. Kalender die für den öffentlichen User freigegeben sind können von jedem abonniert werden.

    Auszug aus der CT Hilfe
    *Termine zur Verfügung stellen.

    Hierfür ist an jedem Kalender das Symbol des Zahnrades zu sehen. Dort öffnet sich ein Menü mit dem einen iCal-Link abfragen kann. Diesen kann man nun z.B. in Google Calender oder Mac Kalender angeben und so erhält man automatisch die Termine in seinen Kalender.

    Wer alle freigegebenen Gemeindekalender auf einen Schlag abonnieren möchte, der kann rechts unten dem Kalender auf Kalender abonnieren klicken. *

    Link dazu
    https://intern.churchtools.de/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:ChurchCal/

    Hoffe das beantwortet die Frage mit den Rechten.



  • Hi Mr. T.,
    danke für Deine Hilfe. Was ich meinte ist folgendes:
    Die Sicherheitsarchitektur läuft über den String - habe ich den String, habe ich den Kalender. Ich könnte also (wenn ich das richtig verstehe) den String auch irgendwo posten und jeder, der ihn findet, kann ihn einbinden. Es wird kein Sicherheitscheck mehr beim Einbinden des Strings durchgeführt (ob der Nutzer also überhaupt dazu befugt ist, den String einzubinden), was ja mit dem Einbinden des Strings über Name + Passwort Eingabe möglich wäre.

    Sehe ich das richtig?



  • @Mr.T. Moin!
    Ich habe gerade auch unter Berücksichtigung des Links auf das Forum versucht das bei uns nachzuvollziehen.
    Ergebnis: Die URLs der Dienstkalender der einzelnen Personen sind (bei uns) wie folgt aufgebaut:
    webcal://domain.tld/?q=ical&id=n wobei "n" die Benutzer-ID ist, die ich in der Personenanzeige von jedem auslesen kann.
    Damit kann ich den Dienstplan ohne jegliche Authentifikation und wahrscheinlich auch auf mehr als einer Churchtoolsinstallation auslesen.

    Das betrifft definitiv auch Termine, die ich im Webinterface nicht angezeigt bekomme!

    M.E. ist das eine deutliche Sicherheitslücke, die mindestens bis ChurchTools3.1-Version: 31011 vorhanden ist.


  • admin

    @lwm Siehe hier!


Anmelden zum Antworten
 

Es scheint als hättest du die Verbindung zu ChurchTools Forum verloren, bitte warte während wir versuchen sie wieder aufzubauen.