Zugriff vom iframe im Mitgliederportal auf die Mitglieder ID

ChristianM

Also was ich bisher hinbekommen habe ist die Mitglieder ID an die iframe Seite zu übergeben. Im Adminbereich -> Administration -> Mitgliederportal/ Seiten Verwalten -> Seite erstellen (iframe) habe ich eine url mit parameter angegeben: https://www.beispiel.de/test.php?MgID={{MitgliederID}}

Das Datenfeld darf dabei kein Leerzeichen haben wie bereits erwähnt und ich habe noch festgestellt, dass das Datenfeld im Mitgliederportal sichtbar für das Mitglied sein muss. Ich hatte zuvor die ID dort nicht einsehbar und dann ging es nicht.

Mit php kannst du dann in test.php z.B. so auf den Parameter zugreifen:

<?php
echo htmlspecialchars($_GET["MgID"]);
?>

Was ich mich frage, wie ich das ganze so sicher bekomme, dass die Seite nur aus dem Mitgliederportal vom eingeloggtem Mitglied aufgerufen werden kann. Die URL findet man leicht raus und ich kann ja dort kein Formular anbieten für eine Bestellung, wenn jeder durch Eingabe der URL im Browser Zugriff für alle IDs hat.
Meine bisherigen Ideen:
1.) Im iframe herausfinden von welcher URL der iframe aus aufgerufen wurde und das Formular nur freigeben, wenn es www.meinVerein.webling.ch war. Ich hab in Foren zumindest gelesen dass das geht, hatte aber noch keine Zeit es zu probieren.
2.) Einen zweiten parameter in der URL mitliefern, der nicht öffentlich ist. Also z.B. ein zusätzliches Datenfeld, dass für jedes Mitglied ein individuelles Passwort enthält. Leider gibts kein Datenfeld, dass mir automatisch Zufallspasswörter generiert. Ein Datenfeld vom Typ ID wäre ideal, wenn es nur nicht chronologisch aufsteigend wäre. Außerdem will ich es auch nicht dem Mitglied dieses Passwort im Mitgliederportal anzeigen. Das wird nur für Verwirrung sorgen.

Hat da ein erfahrener Webentwickler vielleicht einen guten Rat?

jck

Ich denke, da wird es nur eine gefrickelte Lösung geben, wo man auch mit der Sicherheit genau aufpassen muss.
Meine Idee: Nutze die API, um Zufallskennwörter zu generieren und in webling zu speichern sowie regelmäßig zu aktualisieren.

drust

ChristianM Wir haben gerade das gleiche Problem, ich habe auch schon für deinen Feature Request gevotet.

Hast du inzwischen eine alternative Lösung gefunden?

lg Stefanie

ChristianM

drust Hi Stefanie, ja so wie oben beschrieben, mit URL-Parameter in der Iframe URL lässt sich auf eine selbst gehosteten Seite mit z.B. PHP und HTML ein Formular erstellen und mit der Webling API Änderungen in den Datensätzen des eingeloggtem Mitgliedes machen. Man benötigt halt entsprechend Programmiererfahrung und die Zeit.

Bisher hab ich auch noch nicht mehr geleistet als die Übergabe der ID, und eine API Abfrage um welches Mitglied es sich handelt.

blubstar

Ich weiß, die Antwort kommt spät, aber ich stolpere erst jetzt über dieselbe Frage.

Wir nutzen die REST API von Webling recht intensiv und haben darüber schon diverse Zusatz-Features realisiert, z.B. eine Anzeige auf unserer Webseite, wann wer unserer Mitglieder mit der Gemeinschaftsarbeit dran ist, dazu diverse Vorstands-"Utilities" (z.B. ein Bewerber-Management und das automatische ausfüllen von Aufnahmeverträgen samt Versicherungs-Antrag, etc.), dazu Anbindung an ein externes Rechnungswesen (das auch Gutschriften unterstützt). Das ist zu 99% in PHP und Javascript realisiert, auf einem externen Server. Ich denke, wir fallen so in die von @ChristianM aufgerufene Gruppe von "erfahrenen Web-Programmierern mit Webling-Erfahrung".

Wir würden auch gerne ein paar eigene Inhalte in das Mitgliederportal integrieren, die nur das eingeloggte Mitglied sehen kann, niemand sonst.

Allerdings können wir (und ihr) die üblichen Credentials (Webling username/password) dafür nicht nehmen, weil
a) diese nicht als {{Member Values}} im Webling-Editor genutzt werden und somit auch keiner iframe-URL übergeben werden können und
b) wir diese von extern auch nicht prüfen können. Dazu war ich mit dem Support schon in Kontakt. Es gibt zwar technisch IMMER die Möglichkeit, den Login-Vorgang zu simulieren (beispielsweise Chrome headless laufen lassen und das Eingeben simulieren), aber das ist undokumentiert und kann sich ändern ... und ist ohne a) ohnehin keine Option.

Also sehe ich aktuell nur den Weg über ein "secret token", z.B. wie folgt:

Man legt ein Mitgliederfeld im backend an, z.B. "accessSecret" und setzt das (natürlich automatisiert) für jedes Mitglied auf einen langen, "gesalzenen" Hash der Mitgliedsdaten. Oder auch ein rand(2²⁵⁶). Zufallszahlen taugen hier, weil wir extern keine credentials prüfen, sondern nur den match.
dieses übergibt man im iframe z.B. so
<iframe src="https://www.mein-server.xyz/mein-script.php?secret={{accessSecret}}"></iframe>
das externe Script findet dann per REST API (nutze die Filter-Funktion) heraus, zu welchem Mitglied dieses secret gehört ... und erzeugt die entsprechende Response.

Diese Response wird also immer nur dann angezeigt, wenn im Mitgliederportal ein Mitglied angemeldet ist und daher exakt das richtige und zum Mitglied passende accessSecret übergeben wird, Natürlich ist die Seite https://www.mein-server.xyz/mein-script.php selbst öffentlich, aber 2²⁵⁶ ist schon eine sehr große Zahl, so dass die anderen 99.9999999999999...99999% (insg. knapp 80 Neunen) möglichen Versuche von Angreifern auf die URL https://www.mein-server.xyz/mein-script.php?secret={{angriffsVersuch}} ins Leere gehen. Die Sicherheit entspricht bei 256 bit hash/secret Länge dem, was heute gegen Brute-Force Login Attacks als ausreichend gilt und wäre damit Stand der Technik. Wem das nicht reicht, kann ja 512 oder 1024 nehmen.

Natürlich gehe ich davon aus, dass httpS genutzt wird (mit "s") für secure, dann ist alles verschlüsselt, inkl. des accessSecrets.

Wer sich zusätzlich davor schützen will, dass die iframe-URL kein zweites Mal genutzt werden kann, ändert einfach (im selben externen Script) jedes Mal den Wert des accessSecrets per REST API (salt oder rand). So kann auch der Nutzer, selbst wenn er wollte, die iframe-URL nicht wiederbenutzen und auch (absichtlich oder aus Versehen) keinem Dritten geben.

Ach so: das accessSecret nicht als "Very-Long-Integer" speichern (ich weiß nicht mal, ob Webling 2²⁵⁶ kann) sondern als base64-String, dann wird die iframe-URL auch nicht so lang.

P.S.: Solche Erweiterungen erfordern PHP/JS/REST/security Know How. Wenn du (als "Verantwortliche(r)") das nicht selbst verstehst/kannst, dann finde in deinem Verein so einen "Typen" oder auch "Nerd" und setze sie oder ihn darauf an. In unserem Verein haben wir so einen gefunden ... mich 😃

marc1

Mario

Hi,

leider funktioniert das bei mir nicht, wenn ich eine PHP-Seite mit phpinfo() als iFrame einbette und z.B. als URL-Parameter "?datum={{Eintrittsdatum}} angebe, dann wird der Platzhalter nicht aufgelöst, sondern es wird "{{Eintrittsdatum}}" übergeben.
Ich habe bereits mehrere verschiedene Platzhalter probiert.

Gibt es da einen Trick?

Bild 1
Bild 2

--
Marc

(Ich tagge mal frech @blubstar ... ne Idee?)

ChristianM

Die Datenfelder müssen im Mitgliederportal sichtbar sein. Hast du das im Adminbereich so konfiguriert? (Administration ->Mitgliederprofil -> Zugriff auf eigene Mitgliederdaten). Außerdem funktioniert es nicht, wenn Leerzeichen in Bezeichner des Datenfeldes sind. "Mitglieder ID" musst du zu "MitgliederID" umbenennen.

marc1

ChristianM

Danke für die Antwort - das war es.

Heißt aber, alle Daten, die ich per Platzhalter haben will, sieht der User auch im Mitgliederbereich...?

ChristianM

Ja genau, du kannst dich aber auf die MitgliederID und den accessKey einschränken und den Rest dann via API abholen. So hab ich es gelöst. Dass der accessKey dann dem Mitglied angezeigt wird, finde ich auch blöd, weil er das eigentlich nicht wissen muss ich hab aber bisher keine andere Lösung gefunden.

blubstar

Bei diesem Ansatz ist es nicht möglich, den accessKey gegenüber dem betroffenen User geheim zu halten, da er ja als Teil der URL des iframe sowieso "offenbart" wird.
Daher braucht man es auch nicht "blöd" finden. Ist doch cool, gibt ein Gefühl der Sicherheit :-)

blubstar

So, bei uns pressiert es und ich habe heute mal einen ersten (einfachen) Test gemacht ... MIT ERFOLG!!!

Was habe ich gemacht:

in Webling das Datenfeld "AccessSecret" hinzugefügt und für ein (Test-) Mitglied mit einem beliebigen String gefüllt, z.B. "83gr98298t3287rt"
in Webling im Mitgliederportal eine weitere Seite "Externer Link" erstellt
den Link auf "https://<MEINEDOMAIN>/ExtTest.php?accesssecret={{AccessSecret}}" gesetzt
auf meinem Server <MEINEDOMAIN> das Script ExtTest.php erstellt. das macht folgendes
- es liest den accesssecret String aus der URL
- es sucht via REST API nach "/member?format=full&filter=%60AccessSecret%60%20=%20%22".$accessSecret
- es dumpt dann einfach diesen Member (print_r($thisMember)), innerhalb eines <pre> tags, damit Zeilenumbrüche ("\n") funktionieren, auch ohne "<br>".

Ergebnis: ich sehe im Mitgliederportal ALLE Daten von ... MIR, der ich eingeloggt bin, weil das externe Script das so will.

Jetzt liegt es am Script, was genau es von mir (und eventuell anderen) anzeigen will. Das Script hat ja Vollzugriff auf Webling via REST API (bzw. wie im Admin-Portal konfiguriert), kann also viel mehr anzeigen, als ich als Mitglied das im Mitgliederportal könnte. Natürlich auch mit Weiterverarbeitung, mit Grafiken, etc.

Hier die eingefügte Seite im Admin-Portal:

Und so sieht das im Mitgliederportal aus:

Voila. Aufgabe von ChristianM erfüllt.!

drust

blubstar Das sieht ja schon mal gut aus.
Ein wichtiger Anwendungsbereich wäre für mich, auf diesem Weg Formulare zur Datenänderung bereitzustellen - nur für bestimmte Mitgliedergruppen, für Datenfelderkategorien die im Profil eben nicht allen Mitgliedergruppen freigegeben werden sollen).
Denkst du, das ist mit dieser Methode + API möglich?

blubstar

drust
Jepp, das geht ganz einfach, denn das im iFrame laufende Script gehört ja dir. Du kannst darin alles machen, was eine Webseite kann: inputs, forms, javascript, POST/GET, etc. und natürlich vorher noch prüfen, ob das zum accesssecret gehörende Mitglied die Sachen auch sehen und/oder ändern können soll, nach von dir ganz allein festgelegten Regeln.

Die "Verbindung zum Mitglied" geschieht auch weiterhin über das accesssecret, das du bei jeden GET/POST request übergeben musst, am einfachsten explizit=normal (oder als Session-Cookie).

Das heißt: dein Script generiert dann Formulare, Eingabefelder, etc. und baut das accesssecret da so mit ein, dass dieses auch bei jedem folgenden submit (GET oder POST, egal) wieder gesendet wird.

Voila.

Hier ein super-simples Beispiel mit PHP-generierter html-form und accesssecret als hidden input. Ist getestet. Funktioniert.

<form>
<input name="accesssecret" type="hidden" value="<?php echo $accessSecret; ?>">
<input name="editRestricted" type="text" value="<?php echo $thisMember["properties"]["EditierbarerParameter"]; ?>" title="editierbar">
<input name="viewRestricted" type="text" value="<?php echo $thisMember["properties"]["ReadOnlyParameter"]; ?>" readonly title="readonly">
<input type="submit" value="Abschicken" />
</form>

Um die entsprechenden Parameter im "normalen" Mitgliederportal versteckt zu halten, muss natürlich im Admin-Panel die Kategorie auf "nicht sichtbar" stehen. Per API hast du dann wieder vollen bzw. den für den APIKey konfigurierten Zugriff ... und kannst machen, was du willst.

Das sieht dann z.B. so aus:

Achtung - Sicherheit!

Da das ganze in einem iFrame läuft, läuft es selbstverständlich auch OHNE iFrame und OHNE das Webling-Mitgliederportal drum herum., also mit der direkten URL: https://<MEINEDOMAIN>/ExtTest.php?accesssecret={{AccessSecret}}. Es ist eine öffentlich erreichbare Seite, die von jedermann aufgerufen werden kann. Das kannst du nicht wirklich verhindern. Also darf das Script eigentlich gar nichts tun, wenn kein (korrektes) accesssecret übertragen wird, oder gleich 404! Und deshalb ist auch die Länge des accesssecret so wichtig, mindestens 2²⁵⁶.

Natürlich kannst du weitere Prüfungen einbauen. Da der erste Aufruf ja aus dem Webling-Portal erfolgen soll, kannst du den "HTTP_REFERER" im $_SERVER Parameter prüfen, ob der https://<<DEINEDOMAIN>>.webling.eu lautet. Bei den nächsten Aufrufen durch das Script ist natürlich das Script selbst der referrer. Vielleicht kann man hier noch weitere Sicherheiten einbauen. Z.B. Cookies/@session_start();, die ablaufen. Wenn abgelaufen, dann MUSS der Visit vom Portal kommen, die folgenden werden dann innerhalb der Cookie-Lebenszeit auch von "sich selbst" erlaubt. Allerdings kannst du "referer spoofing" auch nicht zuverlässig verhindern. Vielleicht ist das eine Motivation für ein zweites secret, dass sich JEDESMAL verändert (pro User, dann nur ein solches Fenster zu Zeit offen, kennt man von anderen Webseiten, kann aber auch in der Benutzung nerven). Vielleicht gibt es dazu aber auch schon bewährte Design Pattern. Kannst ja mal Googeln oder ChatGPTn. Viel Spaß bei der Umsetzung. Lass uns dann daran teilhaben.

Ab hier nicht mehr so wichtig ...

Es gibt noch einen weiteren kleinen iFrame-"Effekt", nämlich, dass im Mitgliederportal ein neuer Klick auf den Menüpunkt "ExtTest" die Seite nicht (immer?) neu läd. Vielleicht liegt es am Browser-Caching, vielleicht ist da auch noch Webling-Javascript dazwischen, und das geht einfach nicht davon aus, dass das iFrame seinen Inhalt selbstständig ändert ... und "verweigert" den Reload. iFrames sind ja ganz bewusst "disconnected" vom Rest der Seite. Aus Sicherheitsgründen, daher kommt vmtl. auch dieses "nicht wissen, was drin ist". Ausweg: erst einen anderen Menüpunkt anklicken (z.B. "Mein Profil"), dann wieder zurück. Oder Browser-Page-Reload (F5), der dann anders als sonst die letzten GET/POST Daten des iFrame höchstwahrscjeinlich NICHT mitschickt. Und/oder einen "Reload-Button" direkt im iFrame ganz oben anbieten.

Und noch ein kleiner Nachtrag: Versucht bloß nicht, das secret erst als 256-Bit-Integer zu erzeugen (also rand(0,pow(2,256)-1)) und dann nach base64 zu konvertieren. Solche Datentypen gibt's nicht, oder sie sind sehr langsam. In PHP geht's so viel schneller: base64_encode(random_bytes(32));

drust

blubstar Danke für die umfangreiche Antwort!

blubstar

drust
Um ehrlich zu sein: ich dokumentiere das hier vor allem für MICH SELBST, denn so habe ich eine Doku für das, was ich künftig tun will. Und ich muss mir nicht einmal merken, wo diese Doku ist. Sie ist genau da, wo ich sie suchen werde, wenn ich einmal vergesse, dass ich sie schon schrieb 😎 (altbewährtes Rezept in User-Foren).

Aber natürlich freut es mich SEHR, wenn das auch anderen hilft.

Daher: Bitte berichte auch du uns von deinen Fortschritten und Tipps!

Das gilt auch für @ChristianM und @marc1. Gibt es bei euch Fortschritte und Erfahrungsberichte?

blubstar

@demian_holderegger
Bevor ich (und andere) jetzt loslegen: Wird diese Möglichkeit der iFrame-Integration inkl. {{MemberParameter}} im URL-String für "immer" im Webling-Mitgliederportal drin bleiben?

"immer" im Sinne von "das nächste Jahrzehnt mindestens"

demian_holderegger

@blubstar im Moment sehe ich keinen Grund, wieso wir das entfernen sollten 👍️

Nächste Seite »