Automatischen einloggen per Link Automatischen einloggen per Link
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Automatischen einloggen per Link

Started by alf72, August 01, 2006, 09:10:33 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

alf72

Hallo,

mich würde interessieren ob es die Möglichkeit gibt das der User von einem anderen geschützten Bereich
sich per Link autom. eonloggen kann.

Erklärung :

Ich habe eine Community und habe nun meine Gallerien gegen dieses Script getauscht.
Wenn der User nun den Link zum 'fotoalbum' anklickt wird geprüft ob der User  schon
existiert und wenn nicht werden die Daten von der Community in das 'fotoalbum' übernommen
so das der User auch autom. User vom 'Fotoalbum' ist. Nun wäre noch schön wenn beim klicken
auch das Login durchgeführt wird, aber das habe ich bis jetzt einfach nicht hinbekommen.

Also in Form von z.B. /fotoalbum/login.php?referer=login.php&username=alf&password=test

Für Hilfe wäre ich super dankbar.

Gruss Alf72

Joachim Müller

Nein, das ist nicht möglich und widerspricht auch jeglichem Sicherheitsdenken.

alf72

Guten Morgen :-)

Danke für die schnelle ANtwort nur wüsste ich nicht wo hier ein Sicherheitsrisiko
sein sollte ob ich nun das Login-Form über die Loginmaske tätige oder aus einem
schon geschützten Userbreich mit z.B. Hidden-Parameter übergebe.

Ich finde dieses sogar sicherer. Ich habe das Gleiche mit nem grossen Forum gemacht
und da hatte ich noch nie irgendwelche Sicherheitsbedenken. Denn so wie ich sehe wird
ja auch der referer abgefragt und den kann ich ja anders setzen.

Gruss und Danke Alf72

Joachim Müller

Wenn Du meinst, dass diese Methode sicher ist, dann ist das Dein Bier - da werde ich mich nicht mit Dir streiten. Auf jeden Fall existiert der Code so nicht, Du müsstest das selbst programmieren - von daher ist die Debatte ob es nun sicher oder nicht sicher ist sehr akademisch. Passwörter im Klartext per URL-Parameter zu übergeben ist unsicher, darüber herrscht bei Experten Einhelligkeit. Wenn überhaupt müsste man einen Hash übergeben.

Stramm

Du kannst im Photo Shop Plugin nachsehen. Es hat eine modifizierte register form. Nach dem Registrieren, wird man automatisch eingeloggt. Ein klartext pwd in einer URL kann nicht sonderlich sicher sein. Du solltest nach einer anderen Lösung suchen.

Bridging wäre mein Zauberwort... (siehe docs)
http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#integrating

Sigi44

Quotemich würde interessieren ob es die Möglichkeit gibt das der User von einem anderen geschützten Bereich
sich per Link autom. eonloggen kann.
Erklärung :
Ich habe eine Community und habe nun meine Gallerien gegen dieses Script getauscht.
Wenn der User nun den Link zum 'fotoalbum' anklickt wird geprüft ob der User  schon
existiert und wenn nicht werden die Daten von der Community in das 'fotoalbum' übernommen
so das der User auch autom. User vom 'Fotoalbum' ist. Nun wäre noch schön wenn beim klicken
auch das Login durchgeführt wird, aber das habe ich bis jetzt einfach nicht hinbekommen.

Hi,
ich habe das gleiche "Problem", welches eigentlich keines ist.

Im Kopf hab ich das bereits gelöst, nur noch keine Zeit zur Implementierung gehabt.

Bridging kommt bei mir nicht in Betracht, da unterschiedliche User und unterschiedliche Server für Forum und Coppermine.

Halten wir mal fest: Registrierter User ist registrierter User. Weshalb sollte er sich überhaupt in der Galerie nochmal anmelden?

Wenn er nur noch Zugang über das Forum zur Galerie bekommt, ist er doch hinreichend als ein solcher ausgewiesen.

Also:
1.) Alle Restriktionen aus Coppermine rausnehmen. Gäste dürfen genau soviel wie registrierte User.
2.) Per .htaccess jeden zurückwerfen ins Forum, der Coppermine direkt aufruft.
3.) Im Board meldet er sich an oder registriert sich dort erstmal.
4.) Dort findet er in einem nur für reg. User freigegebenen Bereich einen Link. Dieser führt ihn direkt in die Galerie.

Einschränkung:
Er wird in der User Galerie kein eigenes Album anlegen können. Im öffentlichen Bereich hat er aber genau die gleichen Rechte wie sie reg. User haben oder hatten. Also auch Upload in öffentliche Alben.

Ich muss nur noch daran arbeiten, dass der User nicht einfach mit einem 403-forbidden rausgeschmissen wird, wenn er die Galerie direkt aufruft. Muss noch ein bisschen tüfteln, um das ganze etwas höflicher zu gestalten.

Aber das sollte das geringste technische Problem sein.

Gruß Sigi

Stramm

Ich verstehe diese umständlichen Gedankengänge nicht.

Wenn Du 1. erreichen willst -> group manager aus dem admin menü aufrufen und die gewünschte Einstellungen machen
2. Hmm.. problemlos möglich, aber warum (siehe 3.)
3. Ja, das gibt es http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#integrating
4. Warum

Alles was Du erreichen willst ist in den Coppemine Settings einstellbar (ohne irgendwelches htaccess und links die nur für reg user sichtbar sind etc)

-Coppermine ins Forum integrieren
-Permissions in Coppermine setzen -> nur reg user können Coppermine aufrufen

-> User meldet sich im board an, klickt nen Link zur Galerie, kann sie ansehen
-> User meldet sich nicht an, klickt Link zur Galerie - kein Zugang

Sigi44

Quoteauthor=Stramm link=topic=34495.msg164541#msg164541 date=1155839952]
Ich verstehe diese umständlichen Gedankengänge nicht.
QuoteWenn Du 1. erreichen willst -> group manager aus dem admin menü aufrufen und die gewünschte Einstellungen machen

Anders sollten meine Angaben auch nicht verstanden werden. Kenne mich mit CPG eigentlich recht gut aus, trotz Karma -2

Quote2. Hmm.. problemlos möglich, aber warum (siehe 3.)
Deshalb:
Bridging kommt bei mir nicht in Betracht, da unterschiedliche User und unterschiedliche Server für Forum und Coppermine.
Ich werde jetzt alle User aus 4 Galerien im Forum eintragen, mit Passwort und Anmeldedatum und dann hab ich Ruhe.

Quote3. Ja, das gibt es http://coppermine-gallery.net/demo/cpg14x/docs/index.htm#integrating
Das weiß ich, aber auch das gibt es:
QuoteWarning: If you already have users and custom groups in your coppermine database when you enable bbs integration, be aware that they will be lost. If your coppermine users have already created private albums and uploaded pics to them, they will be lost as well!

Quote
-Coppermine ins Forum integrieren
-Permissions in Coppermine setzen -> nur reg user können Coppermine aufrufen
Weiss ich. Aber jetzt ist es zu spät. 4 Galerien, verteilt auf 3 Server? - Nein, die Arbeit mache ICH mir zumindest nicht.
Die Galerien neu aufbauen, Backup, Restore, und was ist mit Google? - Deine Vorgehensweise ist die bessere aber hierfür ist es bei mir definitiv zu spät. Bei dem Fragesteller oben mag es noch möglich sein. Muss er selbst entscheiden.

Sigi