Nach Upgrade von Joomla 2.5 auf 3.8 greifen die Zugriffsberechtigungen nicht mehr

  • Hallo liebe Community,

    ich habe für meine Webseite ein Upgrade von Joomla 2.5 auf 3.8 vorgenommen (mit JMigrate und SPUpgrade). Auf den ersten Blick hat alles soweit funktioniert.
    Allerdings funktionieren die Zugriffsberechtigungen nicht mehr. Ich habe z.B. Kunena installliert und auf der Frontseite 2 Module veröffentlicht. Die Zugriffsberechtigung dafür steht auf "Registriert". Trotzdem können auch Gäste die Module sehen. Das gleiche gilt für die Profile der User - sie sind öffentlich einsehbar, obwohl die Berechtigung auf "Registriert" steht.

    Hat jemand evtl. eine Idee, an was das liegen könnte? Vielen Dank im Voraus

    Andrea

  • Leider auch nicht so exakt, dass ich helfen könnte, wie man es simpel löst. Aber JMigrator hat bei mir neulich bei Migration von 2.5.28 + Virtuemart (weswegen ich überhaupt Jmigrator verwendet habe) auf 3.7.2 mit ähnlichem Verhalten sogar eine Sicherheitslücke erzeugt. Alle Benutzer hatten Zugriff auf den Medienmanager (com_media) und konnten Dateien hochladen. Zum Glück noch rechtzeitig bemerkt (Zufall).

    Soweit ich mich erinnere, war eine Usergruppe namens "Manager" "falsch einsortiert worden". Die Gästegruppe hatte irgendwie falsche Elterngruppe oder Registriert.

    Ich weiß leider nur noch, dass ich (auch in der DB; Alle User(gruppen)tabellen und Core-Assettabellen-Einträge) mit einer frisch installierten Joomla 3 abgeglichen habe, die Manager-Gruppe gelöscht habe, da sowieso nicht verwendet und im Backend alle ACL-Einstellungen 1x umgestellt habe, gespeichert, dann wieder zurück und noch mal gespeichert.

    Hat sehr lang gedauert, bis ich dann sicher war, dass alles "wieder gut".

  • Hallo,
    vielen Dank für Deine Antwort. Das wäre auf jeden Fall schon mal eine Vorgehensweise - allerdings habe ich in der Zwischenzeit wohl den Fehler gefunden.
    In der Konfiguration stand die Standardzugriffsebene auf "Gast". Wenn ich das auf "öffentlich" ändere, dann passt wieder alles. Werde jetzt noch mal alles durchtesten aber ich glaube, das war der Fehler.

    Den Thread setzt ich deswegen schon mal optimistisch auf gelöst. ;)

    LG und nochmal Danke.
    Andrea

  • Deine Lösung "klingt jedenfalls nicht richtig". Auch Gäste sollten Registriertes nicht sehen dürfen, außer du hast in den Zugriffsebenen entsprechende Häkchen gemacht. Die solltest du jedenfalls noch mal ansehen.
    Bei o.g. Seite war es halt so, dass Hacker-Links für Upload funktionierten, obwohl dann scheinbar alles OK war.
    Die kannst bspw. mal ausprobieren:

    Zitat

    /index.php?option=com_media&view=images&tmpl=component&fieldid=&e_name=jform_articletext&asset=com_content&author=&folder=

    Zitat

    /index.php?option=com_media&view=images&asset=com_content&tmpl=component


    Andere finde ich in meinem Verhau leider nicht mehr.

    EDIT: Und es reichte bei mir nicht, nur die ACL-, Berechtigungs-Einstellungen für com_media neu einzustellen.

  • Hallo,

    schön, dass Du Dich noch mal meldest.

    So ganz richtig scheint mir das alles auch noch nicht zu sein. 'Das komische ist, wenn ich jetzt die Zugriffsberechtigung wieder auf "Gast" stelle, dann funktioniert es auch hier wieder. D.h. die Inhalte, die auf "registriert" eingestellt sind, sind von außen nicht sichtbar. Das wäre ja dann ok.

    Was jetzt nicht mehr funktioniert, ist die Anmeldung/Registrierung zum Community Builder. Ich habe in der Konfiguration vom CB stehen, dass die Anmeldung erlaub sein soll, auch wenn im CMS was anderes steht. Das ist eigentlich so die Standardeinstellung und das ging auch schon mal. Jetzt aber nicht mehr.

    Wenn ich die von Dir geposteten URL's teste, kommt die 403-Fehlermeldung.

    Was genau meintest Du damit, alle ACL-Einstellungen einmal umzustellen? Was schlägst Du bei mir noch vor?

    LG
    Andrea

  • Mit CB kenne ich mich leider so aus dem EffEff gar nicht aus. Ist er aktuell? Schon mal im CB-Forum geschaut, ob ähnliche Fehler die Tage aufgetaucht sind bzw. gibt es Update für J3.8.0? Konfiguration einfach noch mal gespeichert.

    ACL:
    Ich bin halt damals bei meinem Fund in die Komponente com_media gegangen und habe unter Optionen die Berechtigungen der Gruppen schrittweise umgestellt, z.B. von Vererbt auf Erlaubt, dann gespeichert. Dann wieder zurückgesetzt wie vorher war. Gespeichert. Dann überlegt, ob der Wert eigentlich plausibel ist. Usw.

    Weil das nix half, in der Konfiguration > Berechtigungen, selbes Spiel usw.

    Problem ist halt, dass ich auch in der Datenbank die Gruppen etc. händisch korrigiert habe und die Asset-Tabelle, aber leider nicht mehr weiß, wie ich das exakt gemacht habe. Weitestgehend mit einem frischen Joomla abgeglichen.

    Also, Sorry, wenn ich nicht wirklich weiterhelfen kann.

  • Hi,

    ja, ich kenn mich mal mit diesen ganzen Einstellungen auch
    nicht so aus, hatte da bisher noch nie Probleme und trau mich da auch
    nicht so ran, ehrlich gesagt.
    Bin jetzt echt am überlegen, ob ich das ganze Upgrade noch mal mache..... ;( Werde aber im CB-Forum noch mal nachschauen - letzte Hoffnung.

    Vielen Dank auf jeden Fall für Deine Antworten.

    LG