Spender und Externe auf ganzem Layer sichtbar
patrickuhlmann opened this issue · 2 comments
Beispiel folgender Fall: https://db.cevi.ch/groups/2964/people/30880
Die Person ist auf Ebene Region lediglich mit Spender erfasst.
Trotzdem erhalten alle Gremien der Region Zugriff darauf:
Ich habe das auf der Integration nachgestellt: https://cevi.puzzle.ch/groups/505/people/3397/security_tools
Aus meiner Sicht sollte ein Eintrag als Spender auf Regionsebene nicht ausreichen damit der ganze Layer Zugriff erhält. Lediglich Spendenverwalter sollten Zugriff erhalten.
Kannst du kontrollieren, was genau diese Gremienmitglieder sehen? Es kann gut sein, dass die Anzeige unter secuirty_tools unseren Spender-Schutz nicht berücksichtigt und deshalb in diesem Fall falsch ist. (Security Tools ist ein Teil des Cores, der Spender-Schutz im Cevi Wagon.)
Und auch wenn Gremien Mitglieder diese Person via Suche tatsächlich öffnen können, wäre das immer noch gemäss unseren Anforderungen. Die Spender-Einschränkung bezieht sich auf das Auflisten der Mitglieder der Gruppe (sowie in einem zweiten Schritt der Rolle). Über den Zugriff auf die Personen-Details haben wir nie gesprochen, ich weiss deshalb gar nicht was da implementiert ist.
Ich habe das geprüft. Es ist effektiv so das man nur sieht wieviele es gibt aber nicht welche. Entsprechend stimmt wohl Deine Vermutung. Ist aber etwas unglücklich wenn man diese Funktion hat und diese dann doch nicht "funktioniert" wegen Anpassungen im Cevi Wagon. Ich frage mich ob es da eine einfache Möglichkeit gibt um das zu korrigieren und ob es noch andere solche Fälle gibt.
