Thema: Security-/Berechtigungsfehler in Core Design Attachments plugin 1.0.1

Hallo!

Sehr gutes Plugin, vor allem, weil man große Dateianhänge auch per FTP hochladen kann und dann nur noch verlinken muss. Man kann Dateianhänge sogar unter mehreren Beiträgen verlinken.

Problem 1:
Man kann einem Attachment ein Zugriffslevel (access level) zuordnen - also: public, registered oder special. Dies hat allerdings keinen Einfluss. Jeder registrierte Benutzer kann jeden Anhang sehen und herunterladen.

Das liegt daran, dass im Code auf eine falsche Berechtigungsgruppe verwendet wird.

Folgendes muss gefixt werden:

cdattachments.php:391 "$access = $user->gid;" -> "$access = $user->aid;"
cdattachments.php:447 "$access = $user->gid;" -> "$access = $user->aid;"

Problem 2:
Kein Fehler aber irritierend. In der Backend-Konfiguration kann man Benutzergruppen (Öffentliches Frontend, Registiert, Author, ...) zuordnen, die dann Anhänge verlinken oder neue hochladen dürfen. Ich habe eine Gruppe ausgewählt und erwartet, dass alle "höher" liegenden Gruppen dann automatisch Zugriff haben - das ist aber nicht so.

Mit gedrückter Strg-Taste müssen alle Gruppen ausgewählt werden, die diese berechtigung erhalten sollen.

Problem 3:
Auch kein Fehler aber ich fand es sehr lästig, dass nur der Benutzer, der den Eintrag angelegt hat, und der Super-Administrator den entsprechenden Attachment-Eintrag verändern darf. Wenn man die Berechtigung hat, Attachment-Einträge anlegen zu dürfen, dann soll man auch jeden verändern dürfen.

Daher habe ich wie folgt gefixt:

cdattachments.php:958 "return false" -> "return true";

Zu beachten:
Damit das Plugin überhaupt funktioniert muss das Plugin "Core Design Scriptegrator" installiert sein und dort jQuery auf "Site" gestellt werden. Aber das steht auch an verschiedenen Stellen.

Tipp:
Ich habe den "attachement"-Ordner in den "images/stories"-Ordner gelegt. So kann ich ihn im Backend über "Medien" betreuen.

Gruß, Norman