Guest (anonimos) permissions Guest (anonimos) permissions
 

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Main Menu

Guest (anonimos) permissions

Started by JLChip, June 24, 2010, 04:51:48 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

JLChip

My English is very bad. Google translator. Sorry.
I am quite novice, this is my first post in the forum ... I'm learning.
I'm evaluating the implementation of an intranet of Coppermine. Input anonymous users can send pictures and then would be validated by administrators. When testing and insert images with an anonymous user and then introduce more and you can also see the images previously shipped from the same IP. Therefore can delete and modify them. If a computer (PC) changes the static IP, seizing a user who is sending images, can therefore eliminate all the work. This is even more dangerous with DHCP. I hope I made to understand. Is there any way to prevent this?.
Thanks in advance.
The gallery is installed on an Intranet test. As I can not meet the requirements of the topics.

JLChip

Pregunta original en español:
Mi ingles es muy malo. Google translator. Lo siento.
Soy absolutamente novato; este es mi primer post en el foro... y estoy aprendiendo.
Estoy valorando la implementacion en una Intranet de Coppermine. De entrada los usuarios anonimos podrán enviar imagenes y luego serian validadas por los administradores. Al realizar pruebas e introducir imagenes con un usuario anonimo y luego introducir mas; se pueden ver las imagenes anteriormente enviadas desde la misma IP. Pudiendo por lo tanto borrar y modificar estas. Si un equipo (PC) cambia la IP estatica, cogiendo la de un usuario que halla enviado imagenes, puede por lo tanto eliminar todo el trabajo realizado. Esto es aún mas peligroso con DHCP. Espero haberme hecho comprender. ¿Hay alguna manera de impedir esto?.
Gracias de antemano.
La galeria esta instalada en un Intranet en test. Por lo que no puedo cumplir los requisitos de los topicos.

Joachim Müller

#2
Moving from English to Spanish support board. Post a link as per board rules (which are available in Spanish as well afaik). If you can't, then there is no support. Read the documentation first. The IP addresses and host names don't matter, it's the user name that counts. That's how Coppermine works, as it has been designed for usage on the internet, where the IP addresses and hostnames don't mean anything as far as authentification is concerned. I come from a corporate network administration background, so I understand what you're trying to say. Hence my recommendation to try the LDAP bridge for cpg1.4.x - maybe you can modify it to work for you as expected. In an ideal world, you'd be implementing NTLM authentification with LDAP. Let us know if your can figure out something in this aspect.

JLChip

Parece que he empezado con mal pie... sinceramente ¡Lo siento!. De entrada no había visto que el foro tenía un apartado en Castellano y por desgracia no puedo cumplir con algún requisito para los temas, por encontrarse el despliegue en una Intranet. La respuesta que se me ha dado no soluciona el problema que planteaba..  Y la versión en Castellano de mi pregunta, al estar adaptada para una posterior traducción con Google Translator, es poco comprensible.
Vuelvo a plantear mi problema de manera mas clara. He habilitado a los usuarios anonimos para subir imagenes que luego deberán ser aprobadas. Cuando un usuario de la Intranet (con IP fija) sube imagenes y pasado un tiempo sube mas, puede ver las anteriormente subidas. Si otro usuario pone la IP del anterior en su equipo, puede al subir imagenes, ver las del anterior; y borrar o modificar las mismas. Esto puede ser incluso peor, pues en algunos PC de mi Intranet, son varios los usuarios que actuan y aún peor, una parte de la Intranet tiene DHCP, por lo que las IP van cambiando entre equipos.
Gracias por vuestra comprensión.
Salu2

JLChip

Sigo avanzando en el problema intentando comprenderlo y de paso dar una posible solución. Del analisis de las tablas, he podido concretar que cuando el usuario que envia un fichero es un Anonimo (Guest) se graba un campo en el registro de la imagen (tabla cpg15x_pictures) con un Token que identifica a este usuario. El campo es guest_token. Cuando el usuario vuelve a subir imagenes, se le adjudican todas las imagenes con ese token. Este se debe generar partiendo de la IP del usuario.
El siguiente paso es comprobar el código para ver si la generación del token es como presumo.
Salu2

Joachim Müller

Being a network admin by profession I can only say that I can not see any reason why an IP address should be re-assigned so soon using DHCP. You have to give your DNS a chance to work, which means that you can only obtain stability if you expand the lease time for the IP address in your DHCP setup. This is of course not related at all to Coppermine.
From a perspective of the Coppermine developer: don't allow anonymous visitors to do anything actively. Allow them to browse the gallery, that's it. No voting/rating, no uploads, nada. Apply an LDAP bridge if you don't want to maintain another user management authority.
Finally: no link to your gallery -> no support. Discussion needs to end here, sorry. You're not within the scope of our target audience with your intended use of Coppermine on an intranet.
My Spanish is not good enough to explain this in Spanish, sorry. However, for giggles I inserted my reply into the google translator and reviewed it - to mee, it makes sense with the automated translation as well.

JLChip

Me siento ciertamente intraquilo pero no quiero ser ingrato... No voy a hacer alardes de nada ni pedir nada a cambio. Me acerque a Coppermine, y a este foro, sin más...
Gracias...

JLChip

Al final ha resultado más sencillo de lo esperado. 
En el fichero editpics.php en la línea 89 (+-):
// Remove outdated guest tokens every 12 hours at maximum
if ($CONFIG['guest_token_cleanup'] < time() - 12*60*60) {
  $guest_token_lifetime = 24*60*60; // 24 hours
  cpg_db_query("UPDATE {$CONFIG['TABLE_PICTURES']} SET guest_token = '' WHERE ctime < UNIX_TIMESTAMP() - {$guest_token_lifetime}");
  cpg_db_query("UPDATE {$CONFIG['TABLE_CONFIG']} SET value = UNIX_TIMESTAMP() WHERE name = 'guest_token_cleanup'");
}
Por lo que solo tendremos que cambiar los valores de tiempo y ajustarlos a lo deseado. Yo he considerado que con 30 minutos ya se tiene tiempo suficiente para completar los campos de cada imagen; teniendo en cuenta de que se pueden subir 10 máximo a la vez.
El siguiente paso sería poner este parametro como una constante en el fichero de configuración y quizas tambien en Administración.
Salu2