skip to content

Archiv

Viele User – geht das?

Ein paar Dinge sind zu beachten

Hunderte oder gar tausende User: An sich hat WebsiteBaker keine Probleme damit, solange die Datenbank nicht überquillt. Dennoch gibt es ein paar Dinge zu beachten.

Einfach: Man richtet eine neue Gruppe - zb "Leser" ein, gibt für diese über "Einstellungen ändern" -> "Sichtbarkeit": "Registriert" spezielle Seiten frei. Dann aktiviert man "Optionen" -> "Registrierung:" und stellt ein, dass jeder, der sich neu angemeldet hat, in diese Gruppe kommt.

Websitebaker wurde nie als Community-Plattform konzipiert, sondern im Gegenteil als CMS für Firmen, Private oder kleinere Organsiationen (Vereine). Dementsprechend wurde natürlich mehr Wert auf möglichst komfortable Bedienung durch wenige User gelegt. Dazu kommt natürlich (verständlich) wenig Engagement der Entwickler für Dinge, die ohnehin niemand nutzt.

Andererseits kommt aber mit zunehmender Popularität von WebsiteBaker auch häufiger der Wunsch auf, "Community-Funktionen" zu nutzen; die Besucher mehr zu binden und am Geschehen teilhaben zu lassen. Schließlich hat das Web 2.0 das Säuglingsalter überstanden und FaceBook gibt es immer noch.
Zwar hat Websitebaker alles nötige mit an Bord, dennoch gibt es kleinere Schwächen, die die tatsächliche Nutzung dieser Funktionen erschweren.

Anmeldeprozedur

Standard: Man registriert sich, wartet das Mail mit dem Passwort ab, meldet sich an, ändert das Passwort (auf das eigene Allerweltspasswort..) und schwupp! - drin!
Der Haken dabei: WB-Mailer + nicht "ganz" sauberer MailServer + unwillige Provider + Spamfilter + DAUs = Das Mail kommt oft nicht an. Die Lage ist fatal: der Nutzer wartet ewig auf das Mail, WB wartet ewig auf die Anmeldung; die eMail-Adresse ist für eine neue Registrierung blockiert. Einziger Ausweg: Eine andere eMail-Adresse verwenden.

Zugang zum Backend

Man kann zwar recht genau einstellen, welche Gruppe was darf, grundsätzlich kann aber jeder, der angemeldet ist, auch ins Backend. Auch wenn er nix anfassen darf: Die Ansicht des Seitenbaums kann schon sehr aufschlussreich sein, überhaupt wenn es viele interessante versteckte Seiten gibt, die man jetzt in aller Pracht sieht.
Zwar ist es möglich, das Admin-Verzeichnis umzubenennen, aber wer will, findet den Namen schnell heraus. Der einzige wirksame Schutz wäre, das Adminverzeichnis per htaccess mit einem Passwort zu schützen.

Unsaubere Module

Es gibt wohl sicher Module, die in der Annahme programmiert wurden, "da kommt ja eh keiner rein, der was böses will". Da wird vielleicht nur abgefragt, ob der aktuelle User angemeldet ist, nicht aber, ob er auch berechtigt ist. Zwar schiebt WB dem einen Riegel vor, es könnte aber auch jemand auf die Idee gekommen sein, WB selbst auszutricksen.

Eine weitere Schwachstelle sind Module, die alle User in ein Array laden, etwa das News-Modul. Bei bis zu 100 Usern ist das kaum spürbar, bei 1000 User schon deutlich. Linderung ist möglich, wenn nur die User geladen werden, die tatsächlich berechtigt sind, oder - wenn das nicht geht - die User erst bei Bedarf geladen werden. Hier muss abgewogen werden, in jedem Fall sind aber irgendwann Eingriffe nötig.

Unhandliche Userverwaltung

Es ist praktisch, einen von 5 Usern aus einer Select-Liste auszuwählen, aber bei einer unsortierten Liste mit 1000 Usern wird das ganz und gar unpraktisch. Hier gibt es zum Glück Module und Admin-Tools mit Such- und Verwaltungsmöglichkeiten. Dennoch wird man um einen Griff in die Core-Dateien von WebsiteBaker nicht herumkommen, schon allein um die WB-eigenen Listen zu deaktivieren.

Verknüpfte Dateien

Das ist kein WB-Problem, ich erwähne es nur im Zusammenhang:
Stellt man auf Seiten, die nur für bestimmte User zugänglich sind, externe Dateien (Bilder, PDFs) zur Verfügung, sind diese natürlich NICHT vor unbefugtem Zugriff geschützt. Praktisch gesagt: Jeder, der den Link zum Bild/PDF kennt, kann die Dateien ansehen, auch wenn er nicht angemeldet ist. Das ist zb bei Preislisten für Stammkunden ein Thema: Ist jemand zb als Stammkunde (mit besseren Preisen) angemeldet, kann er den Link einem Freund mailen, und dieser kann den Link öffnen, ohne angemeldet zu sein.
Allerdings: Selbst wenn das nicht so wäre (=die Daten geschützt sind) kann man sie immer noch downloaden/kopieren und weitermailen. Das ist eben so und es gibt generell keinen wirklichen Schutz vor Missbrauch. WIRKLICH geheime Daten gehören nicht ins Internet, sondern in eine Loge am Opernball ;-)

Aus der Praxis

Zuerst einmal: Nichts wird so heiß gegessen, wie es gekocht wurde. Mit etwas Weitblick, Vorsicht und dem Wissen, dass man zur Not auch in den Core oder die Datenbank eingreifen kann, gibt es keine Probleme. Als größtes Problem stellen sich tatsächlich die "verlorenen" Registrierungs-Mails heraus; nervende - und genervte - User rufen an und wollen jetzt sofort freigeschaltet werden. Dafür gibt es allerdings keine Tools; man lernt mit myPHPAdmin umzugehen.

Von "exotischen" Modulen sollte man eher die Finger lassen oder - wenn man sie schon unbedingt haben will: gefährliche Komponenten nur für den Ober-Admin (user_id=1) zugänglich machen.

Ob man das Backend vor neugierigen Blicken schützt, hängt davon ab, was es dort zu sehen gibt. Notfalls eben mit Passwort schützen.

Und natürlich: Sich selbst immer wieder als "Normalo" registrieren und schauen, wie die Welt aus dieser Sicht aussieht. Schwachstellen suchen, und bei Fundstellen natürlich an das WB-Team berichten.

Back

Kommentar

Name:

E-Mail (required, not public):

Webseite:

Kommentar :

Up
K