[Typo3-UG Oesterreich] Re: [Typo3-UG Oesterreich] template modul für nomale user
Matthias Liertzer
linux at liertzer.at
Wed Jun 30 00:36:06 CEST 2004
Hi
Die letzte Nachricht hat mich ziemlich feritg gemacht, da ich mir eigentlich
ziemlich sicher war, dass ich das erst vor kurzm auf typo3.org gelesen hab.
Und tatsächlich findet sich in "Inside Typo3" (vor wenigen wochen
veröffentlicht) folgendes:
*A level between "admin" users and ordinary users*
It has often been requested to have more access levels between "admin" users
and normal users in a system. This is particularly true when TYPO3 works as a
CMS and some users should have access to TypoScript templates in the Web >
Template module.
The reason why this is not possible to allow for normal users is that it fails
the "PHP-execution criteria". By allowing users to alter TypoScript values in
frontend templates you also offer them a way to execute custom PHP code on
the server - which in turn means they can create a full "admin" account for
themselves easily.
The "PHP-execution criteria" is typically the reason why a certain level of
access is not possible to grant non-admin users - simply because they may be
able to escalate their rights if they could.
andererseits hab ich nach ein wenig typo3 suche allerdings folgende mail an
die typo3 userlist entdeckt, welche denselben "hack" anwendet, wie in der
ersten mail beschrieben:
http://typo3.org/documentation/mailing-lists/user-list-archive/thread/240/?tx_maillisttofaq_pi1%5Bmode%5D=5&tx_maillisttofaq_pi1%5Bpointer%5D=2
Dann gäbe es ja jetzt noch die typo3config option:
$TYPO3_CONF_VARS["FE"]["noPHPscriptInclude"] = '1'
welche ich bis jetzt noch nicht gekannt hab. Allerdings glaube ich ist diese
zu restriktiv, um wirklich eingesetzt zu werden, da sie wohl nicht zwischen
extension code und usercode unterscheidet.(Oder doch? comments erwünscht) Das
heißt es werden praktisch alle extensions nutzlos, welche ein user/userint
objekt in typo verwenden.......
lg Matthias
Am Dienstag, 29. Juni 2004 20:54 schrieb Wolfgang Klinger:
> Hmm, nicht ganz, man kann ganz leicht das Einbinden von PHP Skripts in
> TypoScript unterbinden indem man einfach in der localconf.php die Option
> --------
> $TYPO3_CONF_VARS["FE"]["noPHPscriptInclude"] = '1'
> --------
> setzt ;-) (default: off/0)
> D.h. das wäre kein Problem.
>
> gute Nacht
> Wolfgang
>
More information about the TYPO3-at
mailing list