24.11.2017
  • Betrifft Modul
  • seating
  • Meldezeitpunkt
  • Mittwoch, 18.01.2017 15:12
  • Letzte Änderung
  • Freitag, 04.08.2017 16:01
  • Status
  • Geschlossen
  • Text
  • Hallo,

    ich habe einen Benutzer, der IMMER alle Namen von allen Users beim Mouseover sehen kann im Sitzplan. Er hat es in IE, Chrome und Firefox getestet.
    Anschließend haben wir einen NEUEN Benutzer angelegt, komplett neu erstellt, mit dem er dasselbe hat. (einen Benutzer, keinen Admin!)
    Ich habe hier zeitgleich einen anderen User (UserB) angelegt, mit dem ich das Phänomen NICHT nachstellen kann. Gebe ich ihm nun die Daten und er meldet sich mit UserB an, kann er auch da alle Namen sehen DAFUQ

    Könnt ihr mir da helfen? Browsercache hat er geleert, alle User sind nicht Admin. Habe sie testweise sogar Admin gesetzt, gespeichert, wieder zum User gesetzt und neu gespeichert.

    Der Schalter steht auf "aus", dass das eigentlich kein User kann.

    Die betroffene Seite ist http://gybralanre.de/

Kommentare
     
    MaLuZ
    22.02.2017 09:44
    Hi,

    die Namen werden in folgenden Fällen angezeigt:
    * Das System ist auf Intranet gestellt
    * Der Benutzer ist mindestens Administrator
    * Es handelt sich um den angemeldeten Benutzer

    Hier der entsprechende Code:
    Code:

    if
    (!$cfg['sys_internet']
    or $auth['type'] > 1
    or ($auth['userid'] == $selected_user and $selected_user != false)
    )
     


    Wenn die Bedingen nicht erfüllt werden, landet der Klarname nicht auf der generierten Seite.
    Da gibt es keine Möglichkeit, das von Benutzerseite zu beeinflussen, die Daten werden einfach nicht zum Benutzer transferiert.

    Ich überlege daher gerade, ob es eine Möglichkeit gibt, dass irgendwie die dritte Klausel zieht, sehe aber gerade keinen Weg.
    Es wäre daher gut, wenn du etwas Debugging-Infos liefern könntest.
    Z.b. die Variablenwerte mit Xdebug. Network capture von Login bis Anzeige oder halt die DB.
    quote
    HtHNightwolf
    28.02.2017 15:11
    Okay, all dies war nicht der Fall :(
    Er war kein Admin. Wir haben ka sogar neue Testuser erstellt. Und er hat Pssworte von anderen Nicht-Admin-Konten bekommen. Er konnte es immer sehen. Und zwar immer die Infos von anderen Usern, nicht seine eigenen.
    Auf Intranet waren wir nicht. Es wurde ja niemand anderem was angezeigt. Auch nmir nicht, der zeitglcieh mit den selbern Userkonten Testlogins gemacht hat weil ich es nicht glauben konnte. Mir wurde nichts angezeigt o.O
    quote
    MaLuZ
    01.03.2017 11:30
    Code:
    Und er hat Pssworte von anderen Nicht-Admin-Konten bekommen

    Was genau meinst du damit? Dass ihr ihm Zugangsdaten für andere Nicht-Admin-Accounts gegeben habt und er trotzdem Zugriff auf die Klarnamen hatte?
    Sieht er sie denn auch in den Benutzerprofilen?

    Wie gesagt: Bräuchte irgendetwas an Daten, um das genau nachvollziehen zu können.
    quote
    HtHNightwolf
    08.03.2017 11:45
    Ich habe ihm Testuser (nicht-Admin-Testuser) gegeben. Das meine ich damit. Er hat dies Phänomen bei jedem User, den er verwendet.

    Ich habe es auch nachvollzogen, es ist offensichtlich tatsächlich ein Bug:

    Zustand, wie er sein sollte:
    Wenn ich kein Admin bin, sehe ich in keiner Liste und beim Mouseover auf dem Sitzplan keine Klatext-Namen.

    Zustand, wie er ist.
    Öffne ich den Sitzplan über das Menü "Sitzplan" (index.php?mod=seating), funktionier das auch.
    Aber: öffne ich meinen User (durch Klicken auf meinen Benutzernamen) und klicke DANN aus meinen Benutzerdetails heraus auf den von mir bereits gewählten Sitzplatz, dann öffnet sich ein Popup. Die URL dazu lautet: index.php?mod=seating&action=popup&design=popup&function=usrmgr&id=17&userarray[]=110&l=1
    In diesem Popup sieht jeder Gast die Klartext-Namen jedes anderen Gastes in seinem Sitzplatzbereich. Unabhängig davon ob er Admin oder Clanmitglied ist.

    DA ist dein Bug, da sind deine Details
    quote
    HtHNightwolf
    30.03.2017 11:28
    Würde mich über Rückmeldung freuen.

    Könnt ihr das nachvollziehen? (Muss ja eigentlich)

    Wann geht es weiter?
    Wie geht es weiter?
    quote
    MaLuZ
    30.03.2017 22:49
    Moin,

    ja, konnte ich nachvollziehen.
    Lösung ist ganz einfach:
    $auth_userid ist der aktuelle benutzer
    $selected_user ist auch der aktuelle benutzer
    wird nie ersetzt, ist also immer Wahr.
    Gleiches gilt übrigens für die Avatare.

    Korrigierter Code (nur eigener Name & Avatar ist sichtbar) ist hier zu sehen:
    https://github.com/M4LuZ/lansuite/commit/7ba3090ba721dd91ea524c18b6d9bb110a536e75

    Die wahrscheinlich eigentlich angedachte Variante, Namen und Avatar vom ausgewählten Benutzer anzuzeigen halte ich nicht für glücklich, da man durchs durchprobieren wieder an alle Namen gelangen kann...
    quote
    HtHNightwolf
    10.04.2017 10:20
    Danke, habe ich eingespielt.

    Kann geschlossen werden
    quote
    7 Einträge
    • Hinweis:
      Bitte loggen dich ein, bevor du einen Kommentar verfasst
    • Hinweis:
      Es wurden keine Einträge gefunden