Beiträge: 23
Themen: 10
Registriert seit: 15.02.2013
Noch eine Frage:
Wie ich an anderer Stelle schon erwähnte, fahren wir momentan eine alte Version (1.6.8) wegen Corona. Letzte Woche entdeckte eine Schülerin, dass man bei Google, wenn man ihren Namen eingibt, eine Übersicht über ihre Benutzerdaten bekommt.
Es war noch viel schlimmer, man landete unter meinen Moderator-Rechten auf meiner Seite, wo sie aufgelistet war.
Das Forum ist so eingerichtet, dass es die Datenbankzahlen benutzt, nicht Klartext-URLs. Daher war jetzt unsere vorläufige Lösung, ihren Account zu löschen. Außerdem habe ich mich einmal ein- und wieder ausgeloggt. Jetzt landet man auf der Startseite, wo man sich einloggen muss.
Wenn ich jetzt ein neues Forum einrichte, worauf muss ich achten, dass sowas nicht wieder vorkommt?
Wäre schon mal für Tipps dankbar.
Grüße
Rolf
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
Hallo,
bitte update bzw. upgrade doch dein Forum schnellstmöglich auf die letzte Version (MyBB 1.8.22). Du siehst, dass zwischen Version 1.6.8 und 1.8.22 einige Versionen liegen (34 Versionen). Zwischen deiner und der aktuellen Version sind nicht nur neue Änderungen hinzugekommen, sondern es wurden auch VIELE Fehler behoben die absolut sicherheitsrelevant sind.
Du findest eine Anleitung, wie du richtig Updatest, hier:
https://www.mybb.de/doku/installationakt...lisierung/
Als Info: Derzeit ist MyBB 1.9 in der Programmierung, welches einiges an neue Features mit sich bringt. Unter anderem von Haus aus ein Design, welches direkt für alle Endgeräte optimiert ist (Mobilgeräte, Tablets, Computer, usw). Das Update von 1.8.22 auf MyBB 1.9 wird allerdings problemlos möglich sein. Somit bitte nicht auf 1.9 warten (das kann noch dauern), sondern schnellstmöglich upgraden!
Anschließend können Benutzerrechte eingestellt werden, z. B. das Gäste kein Zugriff haben auf Benutzerkonten oder Beiträge.
Grüße
Beiträge: 23
Themen: 10
Registriert seit: 15.02.2013
Auf dem alten Server werde ich die aktuelle Version gar nicht mehr ans Laufen kriegen, fürchte ich, zu alt sind php usw. Ich bereite ja gerade den neuen Server deshalb vor, und da soll dann alles aktuell sein, mit SSL usw. Ohne Corona hätten wir das alte Forum ja gar nicht mehr benutzt.
Aber für die neue Installation kann ich davon ausgehen, dass solche Sachen nicht mehr möglich sind? Oder sollte man dafür auf irgendwas spezielles achten?
Grüße
Rolf
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
(25.05.2020, 16:57)rweilert schrieb: Aber für die neue Installation kann ich davon ausgehen, dass solche Sachen nicht mehr möglich sind? Oder sollte man dafür auf irgendwas spezielles achten?
Hi,
du kannst (
in MyBB 1.8) natürlich kinderleicht Berechtigungen für "Gruppen" setzen. Somit sind fremde, die nicht in deinem Forum eingeloggt sind aber die Webseite aufrufen, aus systemtechnischer Sicht so genannte "Gäste". Für die Gruppe "Gäste" kannst du somit Berechtigungen festlegen, was diese "Gäste" sehen dürfen und was nicht. Wenn du also für die Gruppe "Gäste" konfigurierst, dass diese weder Beiträge noch Benutzerprofile sehen dürfen, dann ist dies natürlich ohne Probleme machbar und möglich.
Dies sollte auch schon in MyBB 1.6.8 funktionieren. Dazu müsstest du dir die Berechtigungen genauer ansehen. Leider kann ich dir für so eine alte Version keinen Support anbieten.
Beste Grüße
Beiträge: 2.267
Themen: 33
Registriert seit: 25.05.2018
MyBB-Version: 1.8.38
(25.05.2020, 16:22)rweilert schrieb: Letzte Woche entdeckte eine Schülerin, dass man bei Google, wenn man ihren Namen eingibt, eine Übersicht über ihre Benutzerdaten bekommt.
Deine MyBB-Version ist sicherheitstechnisch zwar bedenklich, aber Deine Schilderungen kann ich selbst bei einer alten Version nicht ganz nachvollziehen.
Solltest Du für einen Neustart und zum Wohl von Kindern und Jugendlichen Hilfe benötigen, dann wird hier sicher der ein oder andere mal ein paar Minuten opfern können - hoffe ich -
Beiträge: 23
Themen: 10
Registriert seit: 15.02.2013
Der Hinweis war schon gut.
Bisher hab ich die Gruppenrechte nur eingesetzt, um zwischen verschiedenen Klassen und zwischen Lehrern und Schülern zu unterscheiden, aber Rechte für die Ansicht der Profile hab ich nicht gesetzt. Eigentlich sind "Gäste" auch komplett abgeschaltet, die dürfen eigentlich gar nichts, es ist ja kein öffentliches Forum, es soll ja keiner mitlesen können.
Merkwürdig fand ich aber, dass Google ausgerechnet ein von mir geöffnetes Benutzerprofil mit dem Namen des Mitglieds verlinkt hat, so dass man über diesen Link quasi in meine Moderation einsteigen konnte. Vielleicht konnte man das aber auch nur auf meinem Rechner, wegen Cookies und so, und Fremde konnten nur die Benutzerdaten sehen.
Grüße
Rolf
Beiträge: 1.136
Themen: 39
Registriert seit: 27.08.2014
Das wird sicherlich nur bei dir auf dem Computer so gewesen sein. Über Google kommt niemand in deine "Moderator-Sektion" - vor allem nicht über irgendeinen Direkt-Link. Das wird eher daran gelegen haben, dass du noch als Admin / Moderator angemeldet warst.