Weitere Neuerungen

Rechtebasierte Mandantentrennung

In pirobase CMS 9.4 gibt es die Möglichkeit, über die Zuweisung neuer funktionaler Rechte Rollen zu definieren, die lediglich Zugriff auf die Seitenbäume und Datenquellen des eigenen Mandanten erlauben. Redaktion und pirobase CMS Verwaltungsoberflächen verhalten sich dabei so, als hätte der Benutzer keine Leserechte: Verfügt ein Benutzer nicht über das benötigte Recht, sieht er die entsprechenden Seitenbäume und Datenquellen nicht. Dies betrifft nicht die Ausgabe: Dort sind lediglich die Seitenrechte entscheidend.

Die neuen funktionalen Rechte setzen sich aus dem bereits bekannten funktionalen Recht und dem Suffix _of_own_community zusammen. Das bisherige funktionale Recht edit_folder erlaubte es einem Benutzer beispielsweise, systemweit alle Seitenbäume zu sehen, wenn er über das READ-Recht verfügte. Mit dem neuen funktionalen Recht edit_folder_of_own_community sieht er nun nur noch die Seitenbäume seines eigenen Mandanten. Diese neuen funktionalen Rechte beziehen sich auf Seitenbäume und Datenquellen

Um die Datenquellen der System Community zu sehen und zu bearbeiten, benötigt es funktionale Rechte mit dem Suffix _of_system_community, wie beispielsweise das Recht dms_edit_permissions_of_system_community.

CSRF-Protection in Redaktion und Verwaltung

In der pirobase Redaktion wurde mit pirobase CMS 9.4 ein Sicherheits-Token zum Schutz vor CSRF-Angriffen (engl. Cross-Site-Request-Forgery) eingebaut. Das CSRF-Token wird beim Initialisieren der Redaktion generiert. Der Schutz greift beim Upload von Bildern in Bildelementen und der Bibliothek, beim Bearbeiten und Löschen von Bildern in der Bibliothek, beim Anlegen und Veröffentlichen von Seiten, beim Teilen von Seiten und Anzeigen von Kommentaren, beim Anlegen und Speichern von Zielen im Add-on Analytics Connect sowie in der pirobase Übersicht und im erweiterten Seitenbaum.

Zuletzt bearbeitet am 27.10.2016 09:10.