protect news archive (without groups selected: show all members)

[fbender]

Wenn man eine Seite schützt, aber explizit keine Gruppe auswählt, wird diese Seite allen angemeldeten Mitgliedern angezeigt.

Wenn man ein Newsarchiv schützt, aber keine Gruppe auswählt, werden die Beiträge niemandem angezeigt. Man muss explizit Gruppen angeben, für die das Newsarchiv dann freigeschaltet ist.

Ich bitte darum, das Verhalten des Newsarchivs dem der Seitenstruktur anzupassen, damit ein konsistentes Verhalten gewährleistet ist.

Ich glaube, die Änderung ließe sich ganz einfach wie folgt umsetzen (ungetestet):

~/typolight-2.7.6/system/modules/news# diff ModuleNews.php ModuleNews.new.php 
70,75c70
<               if (

![](is_array($this->User->groups) || count($this->User->groups) < 1 || )is_array($groups) || count($groups) < 1)
<               {
<                   continue;
<               }
< 
<               if (count(array_intersect($groups, $this->User->groups)) < 1)

          if (count(array_intersect($groups, $this->User->groups)) < 1 && !empty($groups))

Eventuell müsste man User->groups noch vorher in ein Array packen, wenn dies nicht schon so ist. $groups ist immer ein Array.

Vielen Dank :)

Related issues: #1080

--- Originally created on December 26th, 2009, at 02:38pm (ID 1319)

[leofeyer]

Ehrlich gesagt hat mich dieses Konzept schon lange gestört. Wenn man ein Element schützt und vergisst, eine Gruppe auszuwählen (weil sie vielleicht erst noch angelegt werden muss), können alle angemeldeten Benutzer auf das Element zugreifen, was dem sonst konsequent implementierten Ansatz "deny,allow" widerspricht. Ich werde daher das Verhalten der Nachrichtenarchive systemweit adaptieren.

--- Originally created on December 28th, 2009, at 12:51pm

[fbender]

Hm, das lief nicht wie geplant ^^.

Deine Änderung ist leider nicht abwärtskompatibel – ich finde dieses Feature (also bisheriges Verhalten bei geschützten Seiten) sehr sinnvoll und es erleichtert mir einiges an Arbeit. Beim nächsten Update könnten damit viele Seiten unbrauchbar werden. Wenn man dann noch von Beginn an ohne Benutzergruppen gearbeitet hat (also rein Unterscheidung zwischen angemeldeten und nicht angemeldeten Benutzern) bzw. nicht alle Mitglieder in Gruppen vertreten sind, und bereits viele angemeldete Benutzer hat, wird es sehr aufwändig bis quasi unmöglich die Seite zu überarbeiten.

Ich finde, dass "deny,allow" da vielleicht nicht so sinnvoll ist. Klar, "fool-proof" wäre es, wenn man eine Seite erst explizit freischalten muss, aber (1) die konsequente Anwendung von "deny,allow" wäre auch erst gegeben, wenn Elemente generell gesperrt sind und jedes Mal von Hand freigeschaltet werden müssen (auch für nicht angemeldete Besucher), und (2) es sollte ein Administrator doch wissen, was er macht – klar, irren ist menschlich, das System muss das aber nicht kompensieren.

Wenn du dennoch auf deinem Standpunkt beharrst, bitte ich dich darum, wenigstens ein weitere Feld anzulegen, mit dem das alte Verhalten nachgestellt wird: Checkbox "Seite für alle angemeldeten Mitglieder anzeigen".

--- Originally created on December 28th, 2009, at 09:15pm

[leofeyer]

--- Originally completed on December 28th, 2009, at 02:10pm