Navigation

    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search

    App zeigt Gruppeninhalte ohne Zugriffsrechte

    Fragen
    app gruppe
    2
    6
    143
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      holunder last edited by holunder

      Hallo,

      ich wurde auf folgendes Problem aufmerksam gemacht.

      Ein Gemeindemitglied hat - wenn ich den Nutzer simuliere - Zugriff auf genau zwei Gruppen. Eine davon ist für alle freigegeben und in der anderen Dienstgruppe ist der Nutzer Mitarbeiter. Genau so sieht es auch aus, wenn sich der Nutzer über das Webinterface anmeldet.
      Dies entspricht dem erwarteten Verhalten.

      Aber: Über die App hat der Nutzer auch Zugriff auf andere Gruppen, in denen er nicht Mitglied ist.
      Konkret geht es um eine Gruppe für eine Veranstaltung. Diese Gruppe ist öffentlich mit Gruppenfreigabeformular. Der Nutzer ist nicht Teil der Gruppe, sieht aber über die App alle Mitglieder der Gruppe. Das ist so nicht beabsichtigt. Somit hat jeder App-Nutzer bei uns Zugriff auf die Namen der angemeldeten Veranstaltungsteilnehmer. 😞

      Ist dies durch "Gruppe ist öffentlich" konfiguriert? Ich hatte erwartet, dass Dinge, die in der Webseite nicht sichtbar sind, auch in der App nicht sichtbar sind.

      Wie kann ich den unbeabsichtigten Zugriff entziehen?
      Falls es ein Bug in ChurchTools ist: Wie kann ich übergangsweise dieses Leck schließen ohne die Veranstaltungsgruppe zu schießen?

      Ein eventuell verwandtes Problem ist hier beschrieben, eine Lösung sehe ich dort nicht:
      https://forum.church.tools/topic/6673/versteckte-gruppe-in-app-sichtbar

      Danke!

      jziegeler 1 Reply Last reply Reply Quote 0
      • jziegeler
        jziegeler ChurchToolsMitarbeiter @holunder last edited by

        @holunder ja es kommt durch die Einstellung öffentlich aber ist ein bug, der nächsten Montag (19.04.) mit der neuen Version dann auch behoben ist. Dadurch dass es ein API-Fehler ist gibt es leider gerade keinen wirklichen workaround

        H 1 Reply Last reply Reply Quote 0
        • H
          holunder @jziegeler last edited by

          @jziegeler
          Danke für den Hinweis.
          Kann ich die App-Nutzung pauschal bis zum Update verhindern?

          jziegeler 1 Reply Last reply Reply Quote 0
          • jziegeler
            jziegeler ChurchToolsMitarbeiter @holunder last edited by

            @holunder ich wüsste gerade keine Möglichkeit

            H 1 Reply Last reply Reply Quote 0
            • H
              holunder @jziegeler last edited by

              @jziegeler
              Super, dass du hier so schnell auf die Anfrage geantwortet hast und einen Termin nennst.

              Da der Bug datenschutzrechtlich bedenklich ist, hätte ich mir gewünscht, dass ihr euch proaktiv bei den Kunden meldet und darauf hinweist.

              jziegeler 1 Reply Last reply Reply Quote 2
              • jziegeler
                jziegeler ChurchToolsMitarbeiter @holunder last edited by

                @holunder ich habe deinen Wunsch mal intern an die entsprechenden Stellen weitergegeben

                1 Reply Last reply Reply Quote 2
                • First post
                  Last post