we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Fragen zum Erstellen von Templates für webEdition.
Benutzeravatar
JuergenEbbing
webEdition Partner
webEdition Partner
Beiträge: 246
Registriert: Do 1. Jan 1970, 02:00
Wohnort: Ramsdorf
Kontaktdaten:

we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon JuergenEbbing » Do 18. Jan 2018, 11:30

Ich nutze auch die Möglichkeit ein Objekt über diesen Pfad aufzurufen:

meineadresse.php?we_editObject_ID=746&hash=dsXKZwP8li

Allerdings muss sich der Benutzer nicht einloggen um die Datei zu editieren. Damit er trotzdem nur seine Datei bearbeiten kann, habe ich zu jedem Objekt ein "Passwort" als hash gespeichert. Der Benutzer bekommt - wenn er eine Datei erzeugt hat - automatisch eine E-Mail mit dem oben abgebildeten Pfad. Den Hash prüfe ich und nur wenn der passt, dann bekommt er das Formular zum bearbeiten angezeigt.

Allerdings werden die Daten nicht gesichert, wenn er die Änderungen absendet. Das wird sicher daran liegen, dass nur eingeloggte User den we:write auslösen können. Kann ich die Daten trotzdem sichern? Also den vorgesehenen Schutz deaktivieren?

Schöne Grüße
Jürgen
------------
da bin ich ja mal gespannt,
ob ich neugierig bin
------------

AndreasWitt

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon AndreasWitt » Do 18. Jan 2018, 11:39

@Jürgen: grundsätzlich geht Sicherheit vor und es ist mit webEdition-Bordmitteln nicht möglich!

Aber, du könntest den Hash auch nutzen, um den Nutzer "im Hintergrund" einzuloggen. Dann wäre das Problem gar nicht da. Aber Achtung automatischer Login kann ein Sicherheitsproblem werden!

Oder du kopierst dir den we-Tag <we:wirte/> machst daraus einen Custrom-Tag und entfernst die Prüfung auf den eingelochten User. Aber Achtung das ist ebenfalls ein mögliches Sicherheitsproblem!

Grüße, Andreas

Benutzeravatar
JuergenEbbing
webEdition Partner
webEdition Partner
Beiträge: 246
Registriert: Do 1. Jan 1970, 02:00
Wohnort: Ramsdorf
Kontaktdaten:

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon JuergenEbbing » Do 18. Jan 2018, 11:51

Hi Andreas!

Sehr gute Idee. Ich würde also den versendeten Link wie folgt ändern:
meineadresse.php?s[Password]=12345678[Username]=freeuser&we_editObject_ID=746&hash=dsXKZwP8li

wobei der Benutzer "freeuser" sich mit Passwort "123456" einloggt.

Allerdings wird die Änderung trotzdem nicht geändert. Liegt es daran, dass das Objekt von keinem User angelegt wurde - also dem admin zugewiesen wurde? Oder muss ich beim we:write Befehl das admin-Feld deklarieren? Oder habe ich sonst noch was vergessen? Habe den Tag bisher zugegeben noch nie in der Form genutzt :wink:
------------
da bin ich ja mal gespannt,
ob ich neugierig bin
------------

AndreasWitt

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon AndreasWitt » Do 18. Jan 2018, 12:02

@Jürgen:
  • nein, bitte kein Username + Passwort übertragen, sondern den Hash mit dem KV-Nutzer verknüpfen und den KV-Nutzer anhand des Hash einloggen.
  • ja der eingeloggte Nutzer und der "verknüpfte Kunde" (Reiter "Kunde" beim Objekt) müssen identisch sein

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon mokraemer » Do 18. Jan 2018, 19:25

Und was spricht dagegen einfach einen Login-Dialog davor zu setzen, wenn der Benutzer noch nicht eingeloggt ist?

Der Hash ist auch kaum sicherer als Benutzername+Passwort, wenn der Hash zum Login dienen soll.

Also außer das du hier die Kundenverwaltung von Hand mit Objekten versuchst, verschickst du das Passwort quasi im Klartext. Denn jeder der die Mail sieht, liest, abfängt kann damit an die Benutzerdaten. Das Objekt mit der ID 746 ist ja dein "Benutzername" und das Passwort ist "dsXKZwP8li". Das solltest du wirklich alles sein lassen, v.a. wenn hier persönliche Daten gespeichert werden (auch im Hinblick auf die neue DGVO)!
webEdition-Kern-Entwickler

Benutzeravatar
JuergenEbbing
webEdition Partner
webEdition Partner
Beiträge: 246
Registriert: Do 1. Jan 1970, 02:00
Wohnort: Ramsdorf
Kontaktdaten:

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon JuergenEbbing » Fr 19. Jan 2018, 14:50

Marco, grundsätzlich hast Du in allem sicher recht.
Mein Kunde möchte seinen Partner die Möglichkeit geben möglichst unkompliziert ein Firmenprofil auf deren Seite zu veröffentlichen. Die Kundenverwaltung ist bei dem Projekt bereits aktiv, allerdings wird diese anderweitig genutzt und der Kunde möchte die Daten nicht "mischen". Ich weiß, man könnte auch zwei Kundengruppen dafür anlegen.

Es soll halt so laufen, dass die Partner übers Frontend-Daten eintragen und wir diese freigeben. Nach Freigabe soll der Kunde lediglich über diesen individuellen Link sein Objekt öffnen können und ggf. Öffnungszeiten etc. ändern können. Ganz ohne Passwörterverwaltung etc..

Andreas Hinweis
nein, bitte kein Username + Passwort übertragen, sondern den Hash mit dem KV-Nutzer verknüpfen und den KV-Nutzer anhand des Hash einloggen.
ja der eingeloggte Nutzer und der "verknüpfte Kunde" (Reiter "Kunde" beim Objekt) müssen identisch sein

Habe ich leider technisch nicht verstanden :?:
Danke für Eure Tipps
------------
da bin ich ja mal gespannt,
ob ich neugierig bin
------------

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: we:write bzw. ?we_editObject_ID ohne LogIn im Frontend möglich?

Beitragvon mokraemer » Sa 20. Jan 2018, 14:06

ich muß zugeben das ich für dein Problem gerade keine gute Lösung auf Lager habe.
Wir mußten nur we:write absichern, damit nicht beliebige Dokumente und Objekte von außen manipulierbar sind.
Da die Sicherung derzeit auch noch unvollständig ist, wäre es denkbar hier eine Sicherheit reinzubrigen, die du dann evtl. auch ohne Login nutzen kannst.
webEdition-Kern-Entwickler


Zurück zu „webEdition Templates erstellen (we:Tags)“

Wer ist online?

Mitglieder in diesem Forum: Ahrefs [Bot] und 15 Gäste