• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Version 3.56

    Ankündigungen
    17
    31
    1.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • davidschillingD
      davidschilling ChurchToolsMitarbeiter
      last edited by

      @tofisch @koehdaniel

      Wir haben uns das gerade angeschaut und können bei uns kein Problem feststellt. Die Berechtigungen haben sich hier aus unserer Sicht nicht verändert. Das habe ich fälschlicherweise angenommen.
      Deshalb schickt uns doch bitte eine Mail an support@churchtools.de mit einer genauen Fehlerbeschreibung. Auch mit konkreten Fällen wo das Problem auftritt. Dann können wir uns das bei euch konkret anschauen.

      Am besten schreibt ihr in die Mail gleich rein, dass wir DB-Zugriff bekommen um das gleich lösen zu können.

      1 Reply Last reply Reply Quote 0
      • D
        Denis Gelb @hbuerger
        last edited by

        @hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder? 😃

        jziegelerJ davidschillingD 2 Replies Last reply Reply Quote 0
        • jpawellekJ
          jpawellek
          last edited by

          @w_leader_02 @tofisch @koehdaniel

          Wir haben das Problem mit den fehlenden Eventsichtbarkeiten untersucht. Kurzfristig lässt sich das Problem lösen, wenn ihr den Personen, die die Events sehen sollen, das globale Recht "Events von einzelnen Kalendern sehen (view events)" im Events-Modul gebt. Das globale Recht kann z.B. einfach auf einem Status oder über Gruppen gesetzt werden:

          Bildschirmfoto 2020-03-05 um 14.42.34.png

          Hier müssen die Kalender aktiviert werden, für die Events für die betreffenden Personen sichtbar sein sollen.
          Wir arbeiten noch an einer automatischen Lösung, aber kurzfristig lässt sich auf diese Weise erreichen, dass Mitarbeiter die fehlenden Events wieder sehen können.

          Hinter dem Problem liegt folgende Ursache:
          Mit der neuen Version 3.56 wurde ein neues globales Recht im Events-Modul eingeführt: "Events von einzelnen Kalendern sehen (view events)"
          Vor Version 3.56 waren Events immer sichtbar, wenn man das Events-Modul generell sehen kann und den dazugehörigen Kalender sehen kann (wenn man "Einzelnen Kalender sehen (view category)" im Kalender-Modul hat).

          Das wurde mit Version 3.56 geändert. Jetzt braucht man explizit das Recht "Events von einzelnen Kalendern sehen (view events)". Auf diese Weise kann man die Berechtigungen genauer einstellen.

          Damit bisher sichtbare Events weiterhin sichtbar bleiben, wurde mit dem Update automatisch das Recht "Einzelnen Kalender sehen (view category)" auf "Events von einzelnen Kalendern sehen (view events)" kopiert. Die Berechtigungen des öffentlichen Nutzers wurden dabei aber bewusst nicht kopiert. In eurem Fall konnten Mitarbeiter bisher einige Kalender sehen, u.a. den Gottesdienstkalender, weil der öffentliche Nutzer diese Kalender sehen darf. Da die Mitarbeiter bei euch über zusätzliche Rechte das Events-Modul generell sehen dürfen, konnten sie bisher auch alle dem Kalender zugehörigen Events sehen. Diese Berechtigung fehlt jetzt, da die Berechtigungen des öffentlichen Nutzers nicht kopiert wurden.

          Wir besprechen noch, wie wir solche Fälle generell lösen. Kurzfristig hilft es "Events von einzelnen Kalendern sehen (view events)" manuell zu setzen.

          T M 2 Replies Last reply Reply Quote 2
          • T
            tofisch @jpawellek
            last edited by

            @jpawellek Hallo, bei uns habe ich das wie beschrieben eingestellt. Durch das Recht, alle Events zu sehen, haben die Leiter aber jetzt auch Events in den Ablaufplänen sichtbar, bei denen ihre Gruppen gar nicht beteiligt sind. Wäre nett, wenn ihr euch das noch mal vornehmen würdet. Danke und viele Grüße
            Torsten Fischer

            1 Reply Last reply Reply Quote 0
            • davidschillingD
              davidschilling ChurchToolsMitarbeiter
              last edited by

              @tofisch Das war dann aber bei euch auch schon davor so. Hast du die die Erklärung von @jpawellek durchgelesen?

              Die Berechtigung die wir vergessen haben zu transferieren sind die des globalen Users. Der hatte dann die Berechtigung den Kalender zu sehen und somit jeder. Wenn du diese Berechtigung jetzt einer Person explizit gibst dann sieht er das gleiche wie vor dem Update und nicht mehr.

              1 Reply Last reply Reply Quote 0
              • jziegelerJ
                jziegeler ChurchToolsMitarbeiter @Denis Gelb
                last edited by

                @Denis-Gelb sagte in Version 3.56:

                @hbuerger ihr habt nicht zufällig ein Beta-Programm für das man sich anmelden kann oder? 😃

                doch das haben wir

                1 Reply Last reply Reply Quote 0
                • davidschillingD
                  davidschilling ChurchToolsMitarbeiter @Denis Gelb
                  last edited by

                  @Denis-Gelb Wenn du daran teilnehmen willst schreib mir mal ne private Nachricht hier im Chat

                  1 Reply Last reply Reply Quote 1
                  • M
                    Marcel @hbuerger
                    last edited by

                    @hbuerger was für ein Quatsch, ich zitiere aus eurem ChangeLog:

                    Um die Angriffsfläche für CSRF zu verringern sind API-Zugriffe nur noch mit POST möglich. Bisher wurde aus ChurchTools nur mit POST auf die Api zugegriffen und alle Beispiele haben auch POST Anfragen genutzt es wure allerdings nicht von der Anwendung sichergestellt. Diese Änderungen gelten für die aktuelle API. Für die neue REST-API wird es eine Unterscheidung zwischen GET/PUT/POST/DELETE und PATCH geben.

                    Ich halte zwar das Statement im ChangeLog für technisch nicht ganz richtig, aber zeigt trotzdem (von euch veröffentlicht), dass euch die Lücke seit ~ 2 Jahren bekannt ist.

                    1 Reply Last reply Reply Quote 0
                    • hbuergerH
                      hbuerger ChurchToolsMitarbeiter
                      last edited by

                      @Marcel Wie kommst du darauf, dass uns die Sicherheitslücke seit 2 Jahren bekannt ist? Das war sie nämlich nicht.

                      ChurchTools Mitarbeiter – Trainer – Supporter – Academy

                      1 Reply Last reply Reply Quote 0
                      • M
                        Markus Jung @jpawellek
                        last edited by

                        @jpawellek Hallo zusammen,

                        leider löst das nicht mein Problem. Ich habe über mehrere Wege (Status, Gruppenzugehörigkeit) die Rechte so vergeben, dass die Mitarbeiter / Leiter die Events sehen können und sich auch entsprechend eintragen können. Aber wenn ich die Personen simuliere, können sie bei "Events" KEINEN Eintrag sehen.

                        Screenshot_2020-07-13 Urchristliche Gemeinde Siegen - churchauth.png

                        Was mir aufgefallen ist: Personen, die bereits für einen DIenst eingetragen sind, können alle Events sehen. Darunter sogar ein Nichtmitglied der den STatus "Freund" hat (Wesentlich weniger Rechte als die Ältesten!)

                        Nein, Filter sind keine gesetzt 🙂
                        Kann mir da jemand weiterhelfen?

                        Grüße, Markus

                        AndyA 1 Reply Last reply Reply Quote 0
                        • AndyA
                          Andy admin @Markus Jung
                          last edited by

                          @Markus-Jung schau dir doch mal die Berechtigung der Gruppentypen an.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post