Beitrag von Claus (4645 Beiträge) am Mittwoch, 16.Februar.2005, 16:46. WWW: automobilhai.de
Passwortschutz mit session-id/Hier ein test
Habe mir erlaubt, den Passwortschutz mit Nutzerdatenbank von Christoph Bergmann mit session-id und Zugang für bestimmte Datensätze zusammenzubasteln.
Hier mal ein Testlink
Ausgabe:
http://www.jobmarder.de/cgi-bin/baseportal.pl?htx=/adressenausgabe
Bearbeiten:
http://www.jobmarder.de/cgi-bin/baseportal.pl?htx=/adressen
1. Nutzer:
Passwort + Name test/test
2. Nutzer
Passwort + Name Claus/Claus ;-))
Die Rechte der Datenbank sind nur auf lesen gesetzt, aber über den Passwortzugang kann man die Datensätze trotzdem über die Standard-Maske von basportal bearbeiten!!!!! Zumindest in meinen bisherigen Tests;-))
Entweder ist das ein riesiger "Bug" oder schlichtweg "genial", allerdings wahrscheinlich ein ungewollter Nebeneffekt???? Bin da selbst mehr oder weniger durch Zufall drauf gestossen.
Gruß
Claus
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Mittwoch, 16.Februar.2005, 18:01.
Re: Passwortschutz mit session-id/Hier ein test
Das is schon so gewollt ;-)
Liegt daran, dass innerhalb von <perl>...</perl> die Befehle get/mod/del/do_all immer alle Rechte haben...
Antworten
Beitrag von Claus (4645 Beiträge) am Mittwoch, 16.Februar.2005, 18:12.
Re: Passwortschutz mit session-id/Hier ein test
Hallo Christoph,
Hatte vorher mal ein paar andere Tests mit anderen Datenbanken durchgeführt, aber da waren die Rechte nach dem Ändern Derselben nicht mehr vorhanden.
Wenn das aber so gewollt ist, Gratulation!!! Ist eine tolle Sache!!
Gruß
Claus
Antworten
Beitrag von Claus (4645 Beiträge) am Mittwoch, 16.Februar.2005, 19:11.
Re: Passwortschutz mit session-id/Hier ein test zum ausprobieren
Hallo Christoph,
hatte ich noch vergessen. In der Doku steht bei do bzw. bei all:
----------
all übernimmt die komplette Ausgabe der Datenbank, erlaubt die Suche nach bestimmten Feldeinträgen, überprüft die Zugriffsrechte und stellt, falls erlaubt, das Eingabeformular aus. Dabei ist es durch eine Vielzahl von Parametern steuerbar.
----------------------------
Vielleicht solltest Du da mal einen entsprechenden Hinweis für die Möglichkeiten von do_all innerhalb von perl einfügen?? Dürfte für viele user interessant sein.
Habe übrigens kein Problem damit, diesen Passwortschutz mit session-id in die Bib einzustellen,ist schließlich nicht auf meinem Mist allein gewachsen. ;-))
Bin eigentlich nur dem Ruf nach einem Passwortschutz mit individuellem Zugang (nur Bearbeitung der eigenen Datensätze) gefolgt und habe versucht, das möglichst einfach und verständlich umzusetzen.
Wäre aber schön, wenn das mal ein paar Leute testen, um eventuelle Fehler vorher zu korrigieren.
In diesem Sinne
Gruß
Claus
Antworten
Beitrag von Christoph Bergmann (8110 Beiträge) am Donnerstag, 17.Februar.2005, 11:29.
Re: Passwortschutz mit session-id/Hier ein test zum ausprobieren
Antworten
Beitrag von Claus (4645 Beiträge) am Donnerstag, 17.Februar.2005, 14:17.
Re: Passwortschutz mit session-id/Hier ein test zum ausprobieren
Hallo Christoph,
1. meinte damit nur, daß bei do action=all die gesetzten Rechte "korrekt" umgesetzt werden, bei do_all innerhalb von perl aber "Alles" möglich ist.
2. Mit der Id hast Du mich mal wieder locker ausgetrickst, aber habe dieses "Sicherheitsloch" hoffentlich dicht gemacht. War im ersten Moment etwas ratlos, weil es ja auch sein kann, daß ein angemeldeter Nutzer mehrere Datensätze bearbeiten darf. Denke aber, ich habe das Problem "elegant" gelöst.
Von wegen!!! Nur die cmd abfangen und dann ist es perfekt;-)))
Was hast Du denn noch für "Überraschungen" parat????
Gruß
Claus
PS: Hatte einiges davon bei meinen Hauptanwendungen noch gar nicht berücksichtigt. Werde das da erstmal einbauen.
JAja, man wird alt wie 'ne Kuh und lernt immer noch dazu;-))
Antworten
Beitrag von Anita (23 Beiträge) am Donnerstag, 17.Februar.2005, 15:52.
Re: Passwortschutz mit session-id/Hier ein test zum ausprobieren
Hallo Claus!
Das funktioniert SUPER! Genau das was ich brauche! Es ist so lieb von Dir dass Du Dir die Arbeit gemacht hast. Endlich gibt es eine Lösung für mein Problem!
Ich bin gerne beim Probieren dabei und freue mich darauf, wenn das Ganze in der Bib erscheint.
Gruss Anita
Antworten
Beitrag von Claus (4645 Beiträge) am Donnerstag, 17.Februar.2005, 17:48. WWW: automobilhai.de
Re: Passwortschutz mit session-id/Hier ein test zum ausprobieren
Hallo Anita,
freut mich, daß es Dir gefällt.
Hatte Dir unter dem alten Thread(von vor 8 Monaten!) schon geantwortet. Die "Lightversion" hättest Du damals eigentlich schon haben können, aber da hatte ich die session-id noch nicht mit eingebaut.
Mit dem Begriff "Super" wäre ich allerdings noch etwas vorsichtig, denn Christoph hat es geschafft, mir zwei Einträge "reinzumogeln".
Habe, so hoffe ich jedenfalls, diese Lücken geschlossen. Werde also noch ein paar Tage mit ihm "Katz und Maus" spielen müssen, Damit das auch "relativ wasserdicht" ist. Kann natürlich auch sein, daß er sein okay gibt.
Er hat mich aber schon einmal mit einem Eintrag "reingelegt". Nur noch cmd und dann ist es perfekt, hahaha.
Danach kam die Id dran. Warten wir es ab.
Probieren ist übrigens Jedem gestattet. Würde mich freuen, wenn Andreas Jurenda sich auch noch mal dran versuchen würde!!
Nebenbei bemerkt: habe mir die Arbeit aus dem Grund gemacht, weil ich die Bibliothek-Versionen in Bezug auf meine eigenen Vorhaben für nicht ausreichend angesehen habe.
Du siehst, so "selbstlos" bin auch ich nicht;-))
Auf jeden Fall werde ich das Programm, wenn es denn als "sicher" eingestuft ist, in die Bibliothek einstellen, um es auch Neulingen, wie ich es vor gut einem Jahr hier noch selbst war, zur Verfügung stellen.
Das ist auch ein kleiner Dank an Forumsteilnehmer wie Sander, Ruben, Andreas, Dennis und natürlich auch Christoph, aus deren Beiträgen, auf die ich bei der Suche im Forum gestossen bin, vieles über perl gelernt habe.
Obgleich ich mich in der Programmierung bereits auskannte, jede Computersprache hat ihre eigenen Regeln. Ich kann daher nur jedem empfehlen, sich damit auch zu befassen. Das Forum ist ein reicher Schatz an Informationen, man muss es nur richtig nutzen.
In diesem Sinne
Claus
Antworten
Beitrag von Claus (4645 Beiträge) am Freitag, 18.Februar.2005, 18:45. WWW: automobilhai.de
@CB/ Passwortschutz mit sid und Nutzer-DB/noch Lücken gefunden???
Hallo Christoph,
wie schaut's aus?? Hast Du noch Lücken gefunden oder kann ich das in die bib einstellen??
Möchte das möglichst im Vorfeld bereinigen, wenn es da noch was gibt.
Gruß
Claus
Antworten
Beitrag von Claus (4645 Beiträge) am Montag, 21.Februar.2005, 14:52.
Re: @CB/ noch Lücken gefunden???
Hallo Christoph,
kannst Du nochmal was dazu sagen?
Gruß
Claus
Antworten
Beitrag von Claus (4645 Beiträge) am Donnerstag, 17.Februar.2005, 09:37.
Re: Passwortschutz mit session-id/Hier ein test
Hallo Christoph,
hattest Du die zwei Datensätze hinzugefügt?? Habe das jetzt mit ...cmd...add.... abgefangen. Müsste jetzt eigentlich nicht mehr gehen, über Außenbefehle oder Ähnliches was reinzuquetschen.
Gruß
Claus
Antworten