Mehr Rechte durch Simulation



  • Hallo Ihr Lieben,
    ich bin zwar relativ neu und kenne mich noch nicht ideal in der Rechteverwaltung aus, aber mir ist genau deshalb ein BUG aufgefallen. Meine Assistentin hatten in ihrer Postausgang nicht alle Mails gesehen... (hätte ich wohl irgendwo einstellen müssen, aber darum geht es jetzt nicht.

    wenn Sie mich aber in der DB aufruft und auf Benutzer simulieren geht, kann Sie alle MAils sehen, auch die die vom System verschickt werden.

    Kurz gesagt, es scheint so, das wenn man einen Benutzer simuliert, der mehr Rechte als man selbst hat, man auch diese Rechte dann hat, sich also über diesen Umweg Rechte erschleichen kann.

    Ich gehe mal davon aus, das dies keine Absicht ist.


  • admin

    @OliverStozek hm. das sind gute Gedanken. Wobei die Frage ist, wozu die Simulation genutzt wird.

    Für uns hat sie reine Adminzwecke (Admins können eh alles). Wenn z.B. einen Person sagt, ich kann das und jenes nicht, oder sehe das nicht, oder das funktioniert nicht, kann ich direkt bei der Person nachsehen.

    Ich würde aber nie einer anderen Person das Recht geben mich als Admin oder einen der anderen Admins zu simulieren.

    In deinem Anwendungsfall würde ich es eher als Feature Request formulieren:
    Erlaube bestimmten Personen (z.B. PA) meinen Account zu verwalten. Das wäre dann vergleichbar mit der Stellvertretung bei Outlook. Eigentlich keine schlechte Idee. Ich würde dafür Voten :)


  • admin

    @OliverStozek Meines Erachtens ist das kein Bug! Benutzer simulieren sollten lediglich sehr hoch berechtigte Personen dürfen (Admins o. ä.). Und wenn ich simuliere, dann erwarte ich auch ein vollständiges Abbild der Berechtigungen des simulierten Users.


  • admin

    Wobei ich gerade in der Rechteverwaltung die Stelle nicht gefunden habe, wo ich die Simulation ermöglichen kann ... :( War das nicht mal ein eigenes Recht oder bin ich blind?



  • nun für unseren Arbeitsalltag wird das auch keine Rolle Spielen, bei uns werden allerdings alle vom Büroteam das recht zu simulieren bekommen, um im Namen der Regionalleiter Mails verschicken zu können.

    Es wäre auch denkbar gewesen, es auch die Regionalleiter auszuweiten, das diese im Namen der Ortverantwortlichen versenden können, aber das ist nicht so wichtig.

    Mir ist es nur aufgefallen und ich dachte man sollte sich Gedanken machen, ob das beabsichtigt ist.


  • admin

    Deswegen mein Gedanke ein neues Feature draus zu machen: Stellvertretung



  • @OliverStozek: Wo kann man denn das Recht zum Simulieren vergeben? Ich finde das grad nicht.



  • Würde auch meinen, dass es dazu ein neues Feature bräuchte. Es kann doch nicht sein, dass man einem Benutzer das Recht geben muss, einen anderen zu simulieren, nur damit er in dessen Namen Nachrichten versenden kann.
    Denke auch, dass die Simulation lediglich Admins vorbehalten sein sollte.


  • ChurchTools Mitarbeiter

    Das hängt an dem Recht ChurchCore > Berechtigung anpassen. Denn wer simulieren kann, sieht immer die Rechte der jeweiligen Person und kann so sowieso alles berechtigen. Er könnte dann den Admin simulieren und sich selbst damit alle Rechte geben.
    Das ist kein Bug sondern ein Feature. Man möchte ChurchTools wirklich 100% aus der Sicht sehen, wie es die Person jeweils erlebt.

    Deshalb ist Simulations-Funktion nicht geeignet für ein ganzes Büroteam. Es ist nur für die Admins gedacht, die eben schauen wollen, ob die Berechtigungen wie erwartet funktionieren.



  • @jmrauen: Das macht meiner Meinung nach so Sinn.
    Ist irgendwo dokumentiert, welches Recht was genau bewirkt? (Was da noch mit dran hängt?)


  • ChurchTools Mitarbeiter



Es scheint als hättest du die Verbindung zu ChurchTools Forum verloren, bitte warte während wir versuchen sie wieder aufzubauen.