Zugriff trotz Registrierungsabschaltung möglich

**Noobier** · 04.01.2012 00:08

Hallo,

im Backend sehe ich heute, dass jemand die Registrierungsseite aufrufen konnte, obwohl ich in den Backendeinstellung die Registrierung abschaltete. Wie ist das möglich und wie kann man das unterbinden.

Nach 7 Seiten Suchergebnissen bin ich nicht schlauer, denn ich habe im Konfigurationsbereich die Registrierung abgeschaltet.

Wenn ein Internetnutzer die URL /component/user eingibt, erscheint eine Seite mit dem Text:

Interner Bereich Willkommen im Teilnehmerbereich unserer Website.

Zur Hölle wie kann das sein?

Was habe ich übersehen und wie kann ich das unterbinden?

Herzliche Grüße

**Lacki** · 04.01.2012 00:11

Hallo.
Das System macht genau das, was Du konfiguriert hast. Eine Registrierung ist nicht möglich, aber sehr wohl ein Login bereits vorhandener User. Das eine hat mit dem anderen nichts zu tun, warum auch sollte die Loginseite nicht abrufbar sein, wenn nur die Registrierung abgeschaltet wurde?

**Noobier** · 04.01.2012 00:45

Nun, ich habe alle User gelöscht, ich betreibe kein Forum oder dergleichen. Ich hatte nur bisher einen "geschützten" Bereich, zudem nur Registrierte Zugriff hatten. Jetzt, wo ich diesen Bereich öffentlich gestellt habe, wurden von mir alle User gelöscht und die Registrierung abgeschaltet. Das Loginmodul habe ich deaktiviert.

Darum meine Frage, wie ist das möglich?

**keraM** · 04.01.2012 05:46

Von welcher Joomlaversion reden wir?
Welche Erweiterungen (bitte mit genauer Versionsangabe) sind installiert?
Joomlacache, Browsercache gelöscht?
Link zur Seite?

**Lacki** · 04.01.2012 07:25

Moin.
Nochmal, das Login Formular der Komponente com_users ist weiterhin abrufbar, egal wie viele User Du löschst und wie oft Du die Registrierung verbietest. Das Login Modul hat auch nur indirekt mit der com_user zu tun, das kannst Du unabhängig davon aktivieren oder auch deaktivieren. Über das genannte Login-Formular der Komponente können sich bereits angelegte / noch existente User weiterhin am Frontend anmelden, aber nicht neu registrieren. Wenn Du "alle" User gelöscht hast (vermutlich doch nicht alle, sonst kannst Du Dich schwerlich selbst einloggen), so kann sich auch niemand sonst dort einloggen, wo ist also das Problem? Wenn Du es unbedingt entfernen willst, erstelle ein Template Override des entsprechenden Views. Sinn macht das aber deswegen nicht unbedingt.

P.S.: Thread bitte anschließend auf gelöst setzen, siehe Signatur.

**Noobier** · 04.01.2012 12:39

Ich denke, ich habe das "Problem" deutlich geschildert, aber du lieber Lacki willst es nicht greifen.

Hier der Link: www.mensch-tier-leben.de/component/user/

Was siehst du?

Eine Seite, wo steht: Willkommen im Internen Bereich

Ja, es sind bis auf den Superadmin alle User gelöscht und ja, selbst das Frontend-Login Modul ist deaktiviert.

Also nochmal zum mitschreiben: wieso kann man bei Joomla 1.5.25 auf diese interne Seite gelangen als GAST.

Wenn es heißt: hey, das ist bei Joomla so und keinerlei Sicherheitsrisiko, ist mir das künftig total Banane, aber so eine Aussage kam ja bis dato nicht.

Ergo: ich sehe hier noch gar nichts als gelöst an...

**Lacki** · 04.01.2012 12:53

Entschuldigung, habe Deine Frage tatsächlich etwas falsch verstanden (mit Link wäre das nicht passiert). Trotzdem bleibt es so, auf der Seite siehst Du als nicht angemeldeter User nichts, was man nicht sehen sollte. Alle Inhalte, die auf registriert oder höher stehen sind dort auch nicht zu sehen. Die Meldung ist etwas verwirrend, zeigt aber eigentlich nur die Standardausgabe der Komponente com_user, wenn nicht ein expliziter View ausgewählt ist. Besser wäre vielleicht: "Willkommen in der Useranmeldung des Frontends"

EDIT: Darauf hatte ich mich ursprünglich bezogen, hatte vermutet, dass Du das meinst:
http://www.mensch-tier-leben.de/component/user/login

**Noobier** · 04.01.2012 13:25

Ich habe vergessen @keraM ;-)

Seminare 1.3.0
FlexiContact 5.07.01
Joomlastats 3.0.3
Proforms Basic 1.1
und mod_facebooklike 1.3

sämtliches Caches und Papierkörbe sind geleert ...

Mir ist all das nur aufgefallen, weil jemand beharrlich immer wieder diese URL aufruft ... und da wurde ich stutzig ...

**Noobier** · 04.01.2012 13:27

@Lacki

heißt das, ich kann die User Komponente oder die Frontend Geschichte nicht so gestalten, dass man sowas erst gar nicht zusehen bekommt? Wenn es kein Sicherheitsrisiko darstellt, darf es ja gerne so bleiben.

**Lacki** · 04.01.2012 13:31

Gestalten kannst Du es wie Du willst, dafür gibt es den Template Override Mechanismus (FAQ Abschnitt 4.5.12 erklärt, wie es geht). Aber aus Sicherheitsgründen musst Du da nichts tun, wie gesagt kommt da nur dieser Text, aber nicht der auf registriert gesetzte Inhalt. Was wie aus Sicherheitsgründen sinnvoll ist, findest Du in Kurzform ebenfalls in den FAQ.

Thema: Zugriff trotz Registrierungsabschaltung möglich

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Zugriff trotz Registrierungsabschaltung möglich

Lesezeichen

Lesezeichen

Berechtigungen