Erweiterung:AccessControl

Atom/RSS-Feeds, Diff- und Revisions-Links

Der Seiteninhalt ist geschützt, jedoch wird beim Öffnen einer Seite aus dem Verlauf ein Stück Rohinhalt angezeigt. Wenn das <accesscontrol>-Tag am Anfang platziert wurde, kann ein potenzieller Angreifer die Namen der beitragenden Nutzer sehen!

Listings & Suche

Wenn nicht anders angegeben, wird der Nutzer weggeleitet, wenn sich in den Suchergebnissen eine Seite mit geschütztem Inhalt befindet. Seit der Erweiterungsversion 2.5 kann auch die Suche erlaubt werden. Es sollte aber bedacht werden, dass die angezeigten Suchergebnisse sensible Daten gefährden können. Schreibe daher keine sensiblen Daten wie Passwörter in dein Wiki, die durch eine Volltextsuche erlangt werden könnten, wenn die Suche in den Inhalten von Seiten, die durch eine Zugangskontrolle geschützt sind, erlaubt ist!

Inklusion/Transklusion, verwandte Schutzrechte und andere Erweiterungen

Seiten, die das Tag <accesscontrol> enthalten oder eine andere Seite einschließen, die durch das Tag <accesscontrol> geschützt ist, sind sicher. Das Tag <accesscontrol> wird vor der HTML-Konvertierung im rohen Wikitext verarbeitet.

Umleitungen

Das Problem mit der Weiterleitung wurde in Version 1.1 behoben

API & Aktionslinks

Für jeden anonymen Benutzer wird die Aktionsklasse automatisch auf false festgelegt, neben dem Attribut view für ungeschützte Seiten. Erlaubte Aktionen für autorisierte Benutzer hängen von den Berechtigungseinstellungen von MediaWiki und dem in der Zugriffsliste aufgeführten Benutzernamen ab, den die Seiten verwenden.

Abschnitt bearbeiten & Seiten beobachten

Diese Optionen sind nur für registrierte Nutzer/innen verfügbar, wenn sie angemeldet sind und auf der Sicherheitszugangsliste stehen.

Dateien & Bilder

Warnung:

Die Erweiterung AccessControl tut nichts, um Dateien vor dem direkten Zugriff per URL zu schützen! Wenn Dateien nicht öffentlich zugänglich sein dürfen, müssen sie auf Serverebene geschützt werden!

XML-Export (Special:Export)

Warnung: AccessControl Version < 2.0, basierte auf einem von MediaWiki ungeschützten Haken, bevor Seiten in Rohcode exportiert wurden. Wenn du also AccessControl Version < 2.0 verwendest, musst du die spezielle Seite verbieten, um den Export der Seiten aus MediaWiki zu verhindern.

Author backdoor : Extension AccessControl hat keine Hintertür!

Caching

Ich empfehle, das Caching zu deaktivieren. Siehe die vorherigen Absätze.

Weitere Informationen über mögliche Sicherheitsprobleme findest du auf der Seite Sicherheitsprobleme mit Autorisierungserweiterungen .

• Leicht festzulegen und einfach zu verwenden.
• Keine Patches am MediaWiki-Kern.
• Unbegrenzte Gruppen.
• Zugangskontrolle im dualen Modus:
  • Kontrolle ansehen.
  • Kontrolle bearbeiten, einschließlich Beschränkungen des manuellen Bearbeitungszugriffs bei Verwendung von action=edit in der URL.
• Benutzergruppen können einen beliebigen Namensraum verwenden.
  • Namensräume mit Gruppenlisten können durch eine andere Erweiterung geschützt werden.
• Die Gruppe der MediaWiki Administratoren kann die geschützten Seiten einsehen und bearbeiten.
  • Gesteuert durch die Variable $wgAdminCanReadAll
• Der Zugang kann für mehrere Gruppen gewährt werden
• Der Lesezugriff kann sowohl Gruppen als auch einzelnen Nutzern gewährt werden.
• Unbefugte Nutzer können die Suchfunktion nur nutzen, wenn sie erlaubt ist. Siehe wie diese Erweiterung die Anforderungen an die Sicherheit einer Website erfüllt.

Handbuch (vorerst in tschechischer Sprache) hier als Wikiseite, ist aber für die Übersetzung vorbereitet. Wenn du dazu beitragen willst, eine englische Version zu erstellen, musst du einen beliebigen Geldbetrag spenden, um einen kommerziellen Übersetzer zu bezahlen, denn der Autor hat nicht die Zeit und die Fähigkeiten dafür. Die Manpage (vorerst nur die tschechische Version) ist Teil des Quellcodes und kann in deine private MediaWiki-Instanz importiert werden, wenn du möchtest.

• Überprüfe zunächst, ob du diese Variablen in der Datei LocalSettings.php festgelegt hast. Wenn nicht, lege sie fest:

$wgGroupPermissions['*']['read']            = true;
$wgGroupPermissions['*']['createaccount']   = false;
$wgGroupPermissions['*']['edit']            = false;
$wgGroupPermissions['*']['writeapi']        = false;
$wgGroupPermissions['*']['createpage']      = false;
$wgGroupPermissions['*']['createtalk']      = false;

• Füge die folgenden Zeilen am Ende deiner LocalSettings.php hinzu:

wfLoadExtension( 'AccessControl' );

Version 6.0 unterstützt die alte Syntax dieser Erweiterung. Die neue Syntax auf der Basis von Vorlagenparametern ist sehr anspruchsvoll. But for base use we can still use AccessList created by the old syntax, and protect pages by element accesscontrol.

Die neue Version verfügt über ein neues System zum Festlegen von Zugriffsrechten, das auf der Parametrisierung von Vorlagen basiert. Wenn der Parser bei der Verarbeitung einer Vorlage auf einen der folgenden Parameter stößt, ruft dieser AccessControl auf, um zu prüfen, ob der Benutzer Zugriff auf den Inhalt hat.

isProtectedBy - Liste der Benutzergruppen

readOnlyAllowedGroups - Benutzergruppen mit schreibgeschütztem Zugriff

editAllowedGroups - Benutzergruppen mit Bearbeitungsrechten

readOnlyAllowedUsers - Liste der Benutzer, die den Inhalt der Website nur lesen können

editAllowedUsers - Eine Liste der Benutzer mit Bearbeitungsrechten

Innerhalb einer einzigen Vorlage können alle oben genannten Parameter gleichzeitig verwendet werden, daher zeigt die Einrückung ihre hierarchische Position in Bezug auf die Rechte an. Mehr dazu erfährst du in der Beschreibung der einzelnen Parameter, wo zudem Beispiele genannt werden.

Mit diesem Parameter wird eine reguläre Vorlage in eine Liste von Benutzern umgewandelt. Jeder Benutzer, dessen Name in diesem Parameter angegeben ist, verfügt über das Recht, die Seite zu bearbeiten, in die die Vorlage mit diesem Parameter eingefügt wird. Und auch alle Seiten, die ihn im Parameter isProtectedBy verwenden. Wenn mehr als ein Benutzer angegeben wird, werden die Benutzernamen durch ein Komma getrennt.

Einfaches Beispiel für eine selbstgeschützte Seite (d.h. 'MyPage'), auf der im Code 'Template:Warning' verwendet wird:

{{Warning
| 1 = Diese Seite ist geschützt
| editAllowedUsers = John Doe, Jane Doe
}}

I can be used to protection another page, if the WikiText content use any template with the parameter 'isProtectedBy', where is as value name the self-protected page 'MyPage'. Siehe Beispiel:

…
| isProtectedBy = MyPage
…

Es kann (muss nicht!) von Page Form bearbeitet werden.

Erstelle zunächst Benutzergruppen. Es kann eine beliebige Seite sein, die im Hauptnamensraum gespeichert ist, nur der Doppelpunkt muss nach dem ersten Wort im Namen stehen. Benutzerlisten können eine Seite im Namespace mit dem Titel "Abteilung" sein Jeder Benutzername erscheint als ein Listenelement.

* John Doe
* Jane Doe (ro)

Benutzernamen, die mit "(ro)" am Ende aufgeführt sind, können den geschützten Artikel nur lesen, aber nicht bearbeiten. Für andere Benutzergruppen kannst du eine weitere Mitgliederliste mit dem Namen Abteilung in einem anderen Namensraum erstellen. Beachte, dass der Name des Benutzers mit einem Großbuchstaben beginnen muss!

Beispiel Tag-Code

<accesscontrol>Administrators,IT:Department,Sales(ro)</accesscontrol>

• Überprüfe die Einstellungen in der Datei extension.json.

Diese können in LocalSettings.php festgelegt werden:

$wgAdminCanReadAll = true; // Administratoren können alle eingeschränkten Seiten lesen

• Je nach Lokalisierung müssen für dein Wiki Seiten erstellt werden, auf die anonyme oder nicht autorisierte Benutzer umgeleitet werden. Du musst sie im Voraus erstellen, weil einige von ihnen nicht von einer anderen Seite aus auf die Seiten zugreifen können.
• Die Sicherheit der Seite wird durch das Tag <accesscontrol> gewährleistet. Wenn kein Tag vorhanden oder die Seite leer ist, ist sie für angemeldete Benutzer, die die Seite lesen und bearbeiten können, frei zugänglich. Kein eingeloggter oder anonymer Benutzer hat nur Lesezugriff.
• Mitglieder von Gruppen, die im Tag <accesscontrol> aufgeführt sind, können die Seite nur bearbeiten, wenn der Gruppentitel nicht mit "(ro)" aufgeführt ist und wenn sie in der Gruppenmitgliederliste keinen Nur-Lese-Zugriff eingestellt haben.
• Standardmäßig ist die Variable $wgAdminCanReadAll auf true festgelegt, damit die Mitglieder der Gruppe Administrator die Seiten der Benutzergruppen in jedem Namensraum bearbeiten können.

Wenn du dein MediaWiki aus irgendeinem Grund nicht auf Version 1.39 LTS aktualisieren kannst, kannst du weiterhin die Version 4.1 des form-support Branch verwenden. Wenn du ein Problem mit dem Update hast, weil irgendein Problem aufgetreten ist und deine Aktualisierung gesperrt hat, schreibe in die Diskussion. MediaWiki ist eine sehr komplexe Software, und manchmal kann ein kleiner Fehler für Admins ohne Programmiererfahrung ein großes Problem darstellen.

git clone -b form-support https://gerrit.wikimedia.org/r/p/mediawiki/extensions/AccessControl.git

If your MediaWiki Version (≥ 2.6) isn't recommend for use, because have not support of the maintainer.

Es wird dringend empfohlen, die Version 2.5.1 zu verwenden.

• Es existierte ein Problem in der Funktion fromTemplate(), das dazu führte, dass AccessControl die Tags von eingebundenen Seiten oder Vorlagen ignorierte. Eine Aktualisierung wird empfohlen!

• Seiten können nur ein <accesscontrol> Element haben.
• Wenn der/die Nutzer/in Mitglied mehrerer Gruppen ist, wird die Gruppe angenommen, die ihm/ihr mehr Zugang gewährt.
• Diese Erweiterung verwendet einen MediaWiki-Hook, der immer dann aufgerufen wird, wenn ein Suchergebnis angezeigt wird. Das bedeutet, dass eine Seite, die mit einer ACL versehen ist, eine "Zugriff verweigert"-Meldung für Endnutzer/innen auslöst, die zufällig nach Text auf einer geschützten Seite suchen. Eine einfache Lösung ist es, Seiten, die AccessControl benötigen, in einen anderen Namensraum zu verschieben und dann die Suche nach diesem Namensraum zu deaktivieren. Das ist zwar kein wirklicher Fehler, aber ein unerwünschtes Verhalten. Klick hier für ein Beispiel, das eine Umgehung zeigt.

• Gruppen aus MediaWiki dürfen nicht in lokalisierter Form vorliegen! sysop kann nicht $2 sein, usw.
• Eine Seite kann mehrere <accesscontrol> Elemente haben, wobei der Zugriff von Gruppen in jedem Tag akzeptiert wird.
• Anonyme Nutzer/innen verfügen nicht über einen Zugang zu Seiten, die durch <accesscontrol>-Elemente geschützt sind.
• Wenn Variable $wgAdminCanReadAll gleich true ist, haben Administratoren immer Bearbeitungsrechte.

• Version 4.1 aus Branch form-support des Git-Repositorys (siehe Link zum Klonen oben auf dieser Seite) wurde auf der alten Legacy-Version MediaWiki 1.35 mit langfristigem Support (September 2023) getestet. Diese Version wird empfohlen für die Verwendung auf MediaWiki 1.29< 1.35

Die erste Version dieser Erweiterung (1.x) basierte auf Group Based Access Control , jedoch ohne die Fehler, die das Original hatte.^[1]

• Version 4.0 ist veraltet (phab:T281848). Upgrade empfohlen.
• Version 3.0.1 wurde auf MediaWiki 1.34.0 getestet, ist jedoch veraltet. Upgrade empfohlen.
• Version 2.5.1 wurde auf MediaWiki 1.33.0-alpha (5eb97ec) getestet
• Version 2.6 wurde auf MediaWiki 1.27.0-rc.0 (57f722a) getestet
• Version 2.5 wurde auf MediaWiki 1.27.0 getestet (aus dem Git-Repository)
• Version 2.5 wurde auf MediaWiki 1.22.9 getestet (aus dem Git-Repository)
• Version 2.3 was tested on MediaWiki 1.22.0 (from git repository)
• Version 2.2 was tested on MediaWiki 1.22.0 (from git repository)
• Version 2.0 wurde auf MediaWiki 1.19-alpha getestet (aus dem SVN-Repository)
• Version 1.2 wurde auf MediaWiki 1.15.5-1 getestet (aus dem Debian-Repository)
• Version 1.1 wurde auf MediaWiki 1.16.0(b3) getestet Works fine, except that it needed a minor change to line 358 of AccessControl.php (remove '&' from parameter to function controlEditAccess()). Wenn eine Seite auf einem Linux-Server angezeigt wird, werden die Tags ‎<accesscontrol> angezeigt. Auf einem Windows-Server werden die Tags jedoch nicht angezeigt und es ist in Ordnung! Ich habe es immer noch nicht herausgefunden, aber für meine Anwendung ist es in Ordnung.
• Version 1.1 wurde auf MediaWiki 1.15 getestet
• Die Version 1.0 dieser Erweiterung wurde getestet und funktioniert einwandfrei mit MediaWiki > 1.12.x.
• Version 1.1 getestet auf MediaWiki 1.16.1 mit neuem Patch von http://git.felk.cvut.cz/pub/git?p=accesscontrol.git;a=commitdiff;h=2f678deed0e4e4f77620e391c94559c7b50102a9

• Zugriff verhindern
• Extension:Semantic ACL
• PageOwnership - Mehrschichtige Rechteverwaltung, ganzes Wiki oder bestimmte Seiten, mit freundlicher Oberfläche