Reply to comment

Unerwartet: Bearbeiten-Recht nur für Benutzer mit entsprechender Eingabeformat / Filter-Erlaubnis

Gerade bin ich auf eine Eigenschaft in Drupal aufmerksam geworden, die mir lustigerweise vorher nie aufgefallen ist...

Wie ihr sicher wisst, kann man Filter für Inhalte auf bestimmte Rollen beschränken. Hier entsteht natürlich ein Problem, wenn Benutzer den Eintrag editieren, welche das Recht zu dessen gewählter Filtereinstellung nicht haben.

Die Drupal-Entwickler haben sich hier also, wie ich schmerzhaft erfahren musste, zu der Lösung entschieden:

Der Benutzer darf den kompletten Inhalt nicht ändern!

Das ist zwar auf jeden Fall der sicherste Weg, aber ob es auch der Beste ist, bleibt fraglich, da mir viele Szenarien einfallen, wo es eventuell eher sinnvoll wäre die Bearbeitung zu erlauben und den Benutzer vor die Wahl zu stellen den Filter schlichtweg beizubehalten oder einen für ihn erlaubten Filter zu wählen. Klar ist dies aber z.B. nicht sinnvoll wenn PHP eingegeben werden kann, da so eine Sicherheitslücke entsteht. Vielleicht in Zukunft eine Option dafür einbauen?

Auf jeden Fall hoffe ich euch einen wichtigen Tipp gegeben zu haben, da schlichtweg die Drupal: Bearbeiten Schaltfläche fehlt und ich mir das nicht erklären konnte (alle anderen Berechtigungen für den Inhalt passten!)

Meine Lösung ist jetzt mit den Filtern etwas offener umzugehen, alternativ könnte man auch nach einem entsprechenden Modul suchen oder selbst etwas entsprechendes entwickeln, wenn es das noch nicht gibt (was ich eher nicht glaube)

Nungut, viel Erfolg mit dem Tipp, hoffe ihr habt euch nicht so lange damit rumgeärgert wie ich Wink

Einordnung:

Reply

The content of this field is kept private and will not be shown publicly. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Internal paths in single or double quotes, written as "internal:node/99", for example, are replaced with the appropriate absolute URL or path. Paths to files in single or double quotes, written as "files:somefile.ext", for example, are replaced with the appropriate URL that can be used to download the file.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd><blockquote>
  • Lines and paragraphs break automatically.
  • Pairs of<blockquote> tags will be styled as a block that indicates a quotation.
  • You can enable syntax highlighting of source code with the following tags: <c>, <cpp>, <css>, <drupal5>, <drupal6>, <java>, <javascript>, <mysql>, <php>, <python>, <ruby>, <smarty>, <xml>. The supported tag styles are: <foo>, [foo]. PHP source code can also be enclosed in <?php ... ?> or <% ... %>.
  • Textual smileys will be replaced with graphical ones.
  • Each email address will be obfuscated in a human readable fashion or (if JavaScript is enabled) replaced with a spamproof clickable link.

More information about formatting options

Type the characters you see in this picture. (verify using audio)
Type the characters you see in the picture above; if you can't read them, submit the form and a new image will be generated. Not case sensitive.