Support Bereich Hier finden Sie Antworten auf alle Fragen zu Ihrem Xobor Forum.
Wählen Sie zunächst einen Hilfe-Bereich.

na wenn das so wäre, wäre es ja wohl der Hammer..

Dann würde die Anfrage ..is_moderator==true.start ja nicht greifen..hhmmm..
Kann es sein, das vergessen wurde diesen Teil nur für Moderatoren freizuschalten, wenn die Sperrfunktion aktiviert wird ?

{{ban_user==true.start}}
<div class="contact"> <a href="javascript:void(0)" onclick="return hpm_newDialog('{{ban_user}}','{{global_page_width}}');" style="text-decoration: none;"><b>{[user_userBan_banProfile]}</b></a></div>
{{ban_user==true.end}}

hätte da nicht wenigstens etwas in dieser Form drumherum gehört ?
{{is_moderator==true.start}} ...... {{is_moderator==true.end}}

*********************
Ich habe bei der Funktion umgelegt auf den Moderator schon ein Problem:

Ich setze Moderatoren gezielt in Bereichen des Forums ein, wo sie dann ihres Amtes walten sollen.

Warum sollte ich diesen Moderatoren nun die Berechtigung geben forumsübergreifend User sperren zu dürfen ?

Mein Test ergibt:

Mitglieder können sogar Moderatoren bannen !!

Also dringende Empfehlung:

Die Funktion sofort abschalten, falls eingeschaltet.


Achim

Wieso können das Mitglieder tun,wenn die Funktion nur für Moderatoren berechtigt ist???

Ich habe sofort alles rückgängig gemacht bei den Moderatoren.

Jörg

Du hast scheinbar recht, die Funktion lässt sich scheinbar nicht wieder abschalten.

Einmal aktiviert. bleibt sie aktiviert.
Haken in Bild ist nicht gesetzt, es wurde abgespeichert. Die Funktion sperren bleibt aber für alle Mitglieder erhalten.

Allerdings wenn sie noch nie aktiviert wurde, steht sie auch nicht zur Verfügung.

Werft diese Funktion schleunigst wieder raus. Wie kann man so sensible Funktionen dermaßen ungetestet als Update fahren. ?
Das ist schon mehr als peinlich und eine erhebliche Sicherheitslücke.

Ich bin bald froh, ziemlich alle Templates geändert zu haben um vor solchen Überraschungen sicher zu sein.

Achim


P.S.
Ich habe diesen Teil aus dem Template Element "Mitglieder Profil"

{{ban_user==true.start}}
<div class="contact"> <a href="javascript:void(0)" onclick="return hpm_newDialog('{{ban_user}}','{{global_page_width}}');" style="text-decoration: none;"><b>{[user_userBan_banProfile]}</b></a></div>
{{ban_user==true.end}}

{{user_banned_link==true.start}}
{{is_moderator==true.start}}
<div class="contact"><b>{[user_userBan_bannedProfile]}</b></div>
{{is_moderator==true.else}}
<div class="contact"><b>{[user_userBan_bannedProfile]}</b>(<a href="{{user_banned_link}}">{[user_userban_Resetban]}</a>)</div>
{{is_moderator==true.end}}
{{user_banned_link==true.end}}

entfernt. Jetzt ist die Funktion zumindest weg, oder nicht mehr sichtbar.

Man kann dem Support und Technikteam nur wünschen das keiner die Situation ausgenutzt hat!!!

*kopfschüttel*

Nachtrag zum Thema: Funktion wieder abschalten

Es scheint auch so zu sein, daß in manchen Foren die Abschaltung funktioniert, in anderen jedoch die Funktion trotz Abschaltung weiter verfügbar bleibt.

Im Testforum 204256 hatte ich gestern getestet und die Funktion anschließend wieder ausgeschaltet. Sie war heute morgen genauso für einfache Mitglieder verfügbar.

In einem anderen Forum haben wir die Funktion abgeschaltet und sie war nicht mehr verfügbar.

Oder ist es gar so, daß die Funktion auf die Mitglieder die zum Zeitpunkt der Aktivierung registriert waren, eingetragen wird, und das nur bei "Neuanmeldungen" die Funktion nicht automatisch hinmzukommt ?

Ich würde gern mal etwas definitives erfahren, damit ich entsprechend handeln kann.

Achim

Ich habe eben jemand vom Supportteam hier gesehen,9:30uhr.
Es wäre wünschenswert wenn man wenigstens ein bescheid bekommt das man das "Problem" zur Kenntnis genommen hat.


Jörg

Ist klar, das bei mir kein Fall betroffen war, warum sollte ich die Funktion weiter duchtesten.

Mit hat allein die Möglichkeit gereicht.

Zitat

---

Aufgrund der Beschaffenheit des Schlupfloches war es zu keinem Zeitpunkt möglich diesen Fehler proaktiv auszunutzen und so mehrere Mitglieder zu sperren oder gar derart ins Forum einzudringen. Die Möglichkeit des Sperrens für Unbefugte war auf seltene Konstellationen begrenzt und die Anzeige des Linkes "Mitglied sperren" & der Bestätigungs-Seite bedeutete auch nicht, dass das Sperren letztlich auch möglich war & erfolgreich gespeichert worden wäre.
So konnten wir auch in den hier gemeldeten Foren von wir-in-katernberg.de und mihca02's Testforum kein betroffenes Mitglied feststellen - hier war offenbar auch nur der Link/die Seite sichtbar.

---

Das ist doch eine "WischiWaschi" - Erklärung.
Es geht nicht darum, das nur 4 Fälle betroffen waren, sondern der entscheidene Punkt ist der, das die Möglichkeit überhaupt bestanden hat.

Und eine besondere Konstellation habe ich nicht erkennen können. Aber ich bin gespannt wie die ausgesehen hat?
Ich denke das nicht mehr passiert ist, liegt wohl daran das der Fehler so schnell entdeckt wurde und das die meisten es wohl noch nicht eigeschaltet hatten und wenn die Mitglieder es gar nicht gemerkt hatten.
Ob 4 oder 4000 spielt dabei keine Rolle.
(Spielt allerhöchtstens eine Rolle für die Größe des Imageschadens von HPM)
Was heißt in dem Zusammenhang "proaktiv ausnutzen" ?
Und in das Forum eindringen ?

Bei böswilliger Absicht hätte ein Mitglied sicherlich weiter sperren können. Wo war da denn die Begrenzung ? Ausser das es im Nachhinein möglich ist seitens HPM die Sperren rückgängig zu machen.

Es war ein "grober Fehler" die Funktion in der Weise einzubauen !

Achim

Zitat

---

Wir nehmen so etwas bei weitem nicht auf die leichte Schulter, auch da ein ähnlicher Fehler im Programm an einer anderen Stelle noch schwerere Auswirkungen haben könnte.

Zitat von Johannes
--------------------------------------------------------------------------------
Um künftig solch einen Fall zu vermeiden, werde ich den Vorfall in einem Mitarbeitergespräch noch einmal genau nach besprechen.
Für die entstandenen Unannehmlichkeiten bei den betroffenen Mitgliedern übernehme ich die volle Verantwortung.

---

Das muss unterstrichen werden.

Zu der Funktion insgesamt.

Diese wird es so bei mir sicher nicht geben.

User melden sich bei mir als Admin an, dann werde ich diese personenbezogenen Aktionen sicher nicht auf Moderatoren übertragen.
Man stelle sich nur vor die Mods sind sich nicht einig, so man denn mehrere hat.

Sperren von Mitgliedern ist meiner MEinung nach eine Maßnahmen die in den Händen des Admins bleiben muss.

Das ist meine Meinung zu dem Thema.

Achim