Zugriff vom iframe im Mitgliederportal auf die Mitglieder ID

ChristianM

Ich habe leider noch nicht viel neues zu berichten, da ich nicht viel Zeit hatte weiter zu implementieren. Bisher hab ich mich nur um den sicheren "Login" gekümmert. Meine Lösung ist da ganz ähnlich zu der von @blubstar.
Ich übergebe in der url allerdings 2 parameter: MitgliederID und AccessKey. Die ID verwende ich um nach den Mitglied zu suchen.
Ich überprüfe dass $_SERVER['HTTP_REFERER'] meine webling domain ist, wie auch von @blubstar vorgeschlagen.
Bevor ich den AccessKey auf gleichheit prüfe, prüfe ich erst, ob er lang genug ist (und vor allem nicht leer), falls nicht erzeuge ich ein Zufallspasswort Nette\Utils\Random::generate(18, '0-9a-zA-Z'); , schreibe es via API zurück in Webling und erzwinge ein neu laden des iframes mit javascript top.location.replace(top.location.href); Dann sollte das neue Passwort übergeben werden. So können sich alle einloggen ohne dass ich händisch ein AccessKey in Webling eintragen muss.
Ich hab mir noch überlegt, ob ich vielleicht an den AccessKey das Datum wann es erzeugt wurde hinten anhänge. Dann könnte man recht einfach prüfen wie alt es ist und ggf wieder ein neues erzeugen.
Ich glaube das sollte dann sicher genug sein.

Die Anwendungen, die ich implementieren will:

Zeiterfassung für die Trainingsstunden, der Übungsleiter. Für die Daten hoste ich dann aber eine eigene Datenbank.
Änderungsformulare: z.B.
- Wechsel in passive Mitgliedschaft
- neue IBAN incl Lastschriftmandat (viellecht mit einer Überprüfung, dass hier nicht die Kinder mit Zugang irgendwas reinschreiben z.B. Eingabe der alten IBAN)

Ich habe gesehen, dass auf der Roadmap "Verbesserungen im Mitgliederportal" stehen. Weiß man schon in welche Richtung das geht? Nicht, dass ich mich jetzt mit was abmühe, was im nächsten Jahr dann in einer professionelleren Form direkt in Webling implementiert ist :-)

Grüße Christian

blubstar

ChristianM
Danke für deinen Erfahrungsbericht. Das ist ganz toll. Wir brauchen hier genau solche Berichte.

Kommentare:

generate(18, '0-9a-zA-Z') ergibt log2(62) x 18 = 107,18 bit Schlüssellänge. Das genügt heute mit Ach und Krach dem "Stand der Technik" (128 Bit). Ich würde lieber gleich auf 256 gehen. Dann musst du dich nie wieder darum sorgen.
- nimm noch "+" und "/" dazu, dann hast du 64 Zeichen (6 ganze Bit), hinten dran noch ein "=". So bist du exakt String-kompatibel zu base64. Das ist natürlich nicht zwingend nötig, aber "ganze Bit" und "Standard-Formate" sind für Nerds wie mich schon irgendwie schön 😉
- nimm MEHR Character/Stellen, z.B. 43 anstatt nur 18, dann hast du 43x6=258 Bit (256 geht nicht "durch 6") und bist bzgl. der Schlüssellänge auf der sicheren Seite = auf den "Stand der Technik" gegen Angreifer.
der Längencheck und das erzwungene Neu-Generieren des Secret (im Backend) und Neu-Laden (im Front-End) ist wunderbar. So gelingt es.
bei der Übermittlung von AccessSecret und ID ist die ID eigentlich redundant. Denn man kann direkt iim API-Request nach AccessSecret filtern: /member?format=full&filter=%60AccessSecret%60%20=%20%22".$accessSecret."%22". Die zusätzlich übermittelte ID erhöht scheinbar die effektive Schlüssellänge ... um ca. 6-10 Bit (64 bis 1024 Mitglieder), gibt aber gleichzeitig uncodierte Informationen preis (nämlich, dass es diese ID gibt). Also kein Sicherheitsvorteil. Du kannst die ID ja in den ersten (oder letzten) 10 Bit des Secret codieren. Das ist dann dieselbe übermittelte Info, aber ein Angreifer versteht es nicht.

Danke ... und bitte halt uns auf dem Laufenden, was deine Umsetzung und deine Erkenntnisse angeht!

ChristianM

Jetzt bin ich doch noch über ein Problem gestolpert, von dem ich berichten möchte:
Ich habe nach erfolgreichen "Login" die MitgliederID in einer Session Variablen gepeichert und keinen erneuten "Login" vollzogen solange sie vorhanden ist. Wenn man jetzt das Mitglied im Portal wechselt, ist man zwar im Portal als jemand anderes angemeldet aber in meiner "iFrame Web applikation" nicht, da die Session ID als Cookie erhalten geblieben ist.

Ich habe das jetzt erstmal gelöst, indem ich keine Cookies verwende:

ini_set("session.use_cookies", 0);
ini_set("session.use_only_cookies", 0);
ini_set("session.use_trans_sid", 1);
session_start();

Das soll wohl nicht ganz so sicher sein, hab aber auch keine Ahnung wie ich ein "Logout" triggern kann wenn das Mitglied im Portal, ohne den Browser zu schließen, gewechselt wird.

Kennt jemand eine Alternative? Oder ist das nicht so dramatisch?

blubstar

@ChristianM : Ah, interessant. Da gibt es also Tücken. Danke für den Post.

"Dramatisch" finde ich das schon, es scheint mir eine Sicherheitslücke: ein User sieht Daten eines anderen ... und kann diese schlimstenfalls sogar ändern.

Ich durchblicke jedoch deine Situation noch nicht ganz. Du schreibst:

Ich habe nach erfolgreichen "Login" die MitgliederID in einer Session Variablen gepeichert und keinen erneuten "Login" vollzogen solange sie vorhanden ist.

Was genau meinst du mit dem zweiten Halbsatz?

keinen neuen "Login" vollzogen = Session Variable MitgliederID nicht geändert (auch wenn beispielsweise vom Portal ein neues {{AccessSecrets}} gesendet wurde)?
solange "sie" (?) vorhanden ist = solange eine MitgliederID in einer Session-Variablen gespeichert (=vorhanden), diese also nicht leer/undefined ist?

Dann wundert mich das von dir beobachtete Verhalten nicht. Denn da ist ja noch eine (die ALTE) MitgliederID in der (Browser-)Session-Variable vorhanden (weil Browser nicht geschlossen). Also macht dein Script (nach deinen Angaben) "kein neues Login", d.h. es prüft das {{AccessSecret}} nicht erneut, selbst wenn ein neues per iFrame vom Portal kommt (weil sich ja ein neuer User angemeldet hat). Somit verzichtet dein Script (absichtlich!?) auf diese leicht durchführbare Prüfung, ob der Portal-User sich verändert hat (erkennbar am geänderten AccessSecret).

Die einzige Möglichkeit, Änderungen am Portal-User mitzubekommen, ist ja, wenn das Portal deinem Script via der iFrame-Integration etwas "mitteilt" und (!) dein Script auch genau darauf reagiert! Ein anderer Kommunikationsweg vom Portal zu deinem Script (via iFrame-URL+GET-Parameter) existiert ja nicht (oder doch?).

Daher MUSS das Script, wenn es ein {{AccessSecret}} empfängt, dieses auch IMMER prüfen. Egal was sonst noch in Cookies / Session Variables gespeichert ist. Sonst ist doch die ganze Idee kompromittiert.

... oder ich habe nicht verstanden, was du meinst.

Im Grunde zeigt das hier, dass wir dasiFrame mit {{AccessSecret}} schon verbiegen, wenn nicht missbrauchen für eigentlich etwas anderes, nämlich ein EIGENES Mitglieder-Portal unter Nutzung der Webling-Portal-Credentials.

Das war ja weiter oben schon Thema. Leider kommen wir an die Webling-Credentials der User nicht dran. Daher der Umweg.

Und weiter:
Wenn man beispielsweise das iFrame "in einem neuen Browser-Fenster öffnet", kann man da ja auch bei interaktiven Scripten (forms, etc.) weitermachen, auch wenn man sich im Webling-Backend zwischenzeitlich abmeldet. Das "beweist" ja, dass wir hier ein zweites Portal kreieren.
Dessen "Logout" müssen wir selbst übernehmen, das kann das Webling-Portal nicht (solange es keinen "Portal-Logout-Hook" gibt).

Immerhin können wir (siehe oben) vermeiden, dass ein NEU ANGEMELDETER User die Daten eines anderen sehen (oder gar ändern) kann.

Für den alten User gilt: Bevor er vom Browser (PC, Phone, Tablet, etc.) weggeht, soll er alle Browser-Fenster mit sensiblen Inhalten schließen. Daran erinnert uns ja auch jedes Online-Banking-System. Gilt hier auch.

Ideen (auf die Schnelle):

Timeout (wie beim Online-Banking). Auto-Logout nach xxx Sekunden/Minuten/Stunden Inaktivität. Dafür gibt es Standard-Lösungen (Cookies).
bei GET/POST auf dem Server immer das alte {{AccessSecret}} (im hidden-input einer in der Vergangenheit erstellten HTML-Form) mit dem aktuellen (aus Session-Storage/Cookie) vergleichen, so kann man unerlaubte Schreib-Zugriffe nach Portal-Ummeldung erkennen ... und dann einfach nicht zulassen. Das heißt auch: kein GET/POST ohne AccessSecret als GET/POST-Parameter! Sonst kann man es ja nicht prüfen.
und im Script ggf. alle 5 Sekunden per Javascript dasselbe: Vergleiche altes AccessSecret (vom Zeitpunkt des Ladens der Seite aktuelle, kann man ja als Javascript-Parameter generieren) mit dem neuen aus dem Session-Storage und triggere notfalls ein Zwangs-Logout. Das kennen wir ja auch von vielen Webseiten (auch Webling selbst).

Noch ein (krude?) Idee:

man schreibt (jedesmal, wenn man ein AccessSecret vom Portal = nicht von "self" bekommt) die SessionID zusammen mit der datetime per API in einen "Secret Parameter" des aktuellen User in Webling
bei JEDEM Script-Aufruf prüft das Script per REST API, ob es in Webling ANDERE User gibt mit derselben SessionID aber NEUERER datetime --> wenn ja: aktuelles Fenster Zwangs-Logout
für Erkennung von "self" über http_referrer (unsicher weil manipulierbar) gehen oder über zweites AccessSecret, das sich jedes mal ändert (oder so)
ODER noch anders: bei jedem Script-Aufruf mit einem neuen AccessSecret (= von einem anderen User als zuvor) wird das AccessSecret des ZUVOR angemeldeten User verändert. Das kann man ermitteln, indem man nach denjenigen Usern mit derselben SessionID sucht (und ggf. wieterer Parameter). Somit sind keine Zugriffe auf Daten des zuvor angemeldeten Mitglieds mehr möglich (vorausgesetzt alle get/set-Befehle checken das AccessSecret).
war die letzte Idee vor dem Ins-Bett-Gehen, also nicht ausgegoren ... aber vielleicht interessant... oder vielleicht gefährlich

Und wie so oft eine Frage an @demian_holderegger : Gibt es die Möglichkeit, in normalen Portal-Seiten im HTML-Modus Images mit EXTERNEM INHALT (also z.B. <img src="https://<MEINEDOMAIN>/ExtTest.php?image&accesssecret={{AccessSecret}}"> einzubinden? Noch besser: für das LOGO? Das wäre eine Möglichkeit, das AccessSecret unseres eigenen Scriptes bei Neu-Login sofort zu "resetten". Das wäre dann ein "Portal-Login-Hook".

ChristianM

blubstar
Ja du hast recht. Wundern tut mich das Verhalten auch nicht. Es tut genau das was ich programmiert habe. Das war halt falsch :-D Ich verbuche das mal als Anfängerfehler sich über ein Logout keine Gedanken gemacht zu haben.
In meinem "Quickfix" keine Cookies für die Session Variable zu verwenden, sondern eine trans_sid wird die sessionvariable bei jedem post automatisch mit an die URL gehängt und nicht beim client gespeichert (Cookie). Daher ist sie nicht verfügbar wenn man von dem iFrame tab weg navigiert und sich als anderes Mitglied einloggt und dann wird auch mein Login mit dem korrekten Mitglied erneut vollzogen.
Den AccessKey einfach immer prüfen, wenn er übergeben wird ist irgendwie so naheliegend, dass ich mich grad selbst frage wieso ich darauf nicht gekommen bin. Das werde ich auf jedenfall nachholen.
Beim wechsel des Mitgliedes wird ja der iFrame immer neu geladen und immer die URL parameter übergeben. Dann wird bei mir auch immer ein neuer Login und Accesskey überprüfung getriggert. Braucht man dann wirklich noch die anderen Maßnahmen, die du beschrieben hast, z.B. Timeout? Das scheint mir dann unnötig, oder übersehe ich was?

blubstar

Heute habe ich mal ChatGPT dazu befragt und ihn auch gebeten, entsprechende Code-Snippets zu erstellen (ca. 250 Zeilen PHP und JS). Den Code habe ich noch nicht getestet, daher hier nur die Idee, die mir plausibel erscheint:

SERVER-Seite:

das Script speichert eine "BrowserId" sowie die MitgliederId als Secure-Cookie. Das entspricht dem Login.
- BrowserId z.B. als base64(random_bytes(32)).
- Die MitgliederId bekommt der Server über das AccessSecret heraus (über die API suchen), welches quasi die Credentials simuliert.
- Zudem speichert der Server diese Zuordnung server-seitig ab, simpel und schnell als Datei: Dateiname = BrowserId / Content = MitgliederId
(anders als ich es oben vorschlug) senden unsere Scripte kein AccessSecret mehr --> das ist sicherer, die Zuordnung speichern wir ja im Cookie "MitgliederId"
bei jedem weiteren Aufruf eines Serverscripts wird folgendes geprüft
- wurde ein AccessSecret übertragen? (was ja einem "iFrame-Login" aus dem Webling-Portal entspricht), dann prüfen, ob es zu dem User gehört, das wir server-seitig in der Datei "BrowserId" gespeichert haben
  -- wenn ja (was nur in dem Fall zutreffen kann, wenn das selbe Mitglied sich aus- und dann wieder einloggt) --> weiter
  -- wenn nein (was nur der Fall sein kann, wenn sich ein anderes Mitglied im Webling-Portal angemeldet und unser iFrame-Script aufgerufen hat) --> NEUER USER --> Datei "BrowserId" neu schreiben (content = NEUE MitgliederId)
- bei jedem anderen Aufruf eines Server-Scripts (ohne Übermittlung von AccessSecret) muss es ja ein Cookie "MitgliederId" geben. Dieses muss der Server lesen und prüfen, ob es mit dem Inhalt der Datei "BrowserId" übereinstimmt.
  -- wenn es dieselbe ist --> prima, Script ausführen
  -- wenn es eine andere ist --> dann hat sich zwischenzeitlich ein anderes Mitglied angemeldet (und der Server hat -- siehe oben -- dessen MitgliederId in die Datei "BrowserId" geschrieben) --> eine Seite "logged_out.html" mit einen 401-Header senden ("unauthorized")
und wer will, kann noch einen Logout-Knopf bauen --> der Server löscht dann (falls der User noch eingeloggt ist, d.h. wenn Cookie "MitgliederId" dem Inhalt der Datei "BrowserId" entspricht, diese Prüfung kommt immer zuerst) einfach die Datei "BrowserId", und sendet ansonsten wieder 401 unauthorized (und löscht die Datei natürlich NICHT, denn sie "gehört" inzwischen einem anderen User).

Client (JS):

hier kann ich nun jederzeit prüfen, ob "ich" noch eingeloggt bin, indem ich den Server z.B. frage "checkMe.php", woraufhin der Server ja mit 200 (weil er die Datei namens "BrowserID" (aus Cookie) gefunden hat und deren Inhalt zum Cookie "MitgliederId" passt) oder anderenfalls 401 antworten wird
- ist die Antwort ok (200), bin "ich" (das laufende Script) noch eingeloggt (bzw. hat sich kein anderer eingeloggt) und mache weiter
- ist die Antwort "unauthorized" (401), bin ich es nicht mehr und breche hart ab, z.B. per location.replace('https://<myserver>/logged_out.html');
einen "enforced logout" (in allen offenen Tabs) kann man dann auf mindestens zwei Arten realisieren:
- entweder mit einem "heartbeat", der z.B. alle 10 Sekunden (per setInterval(...) genau die Abfrage "checkMe.php" absetzt und dann bei 200 weitermacht oder bei 401 ebenfalls zum "harten Abbruch" führt
- und/oder zusätzlich mit einem BroadcastChannel, mit dem innerhalb des Browsers events an alle JS-Scripte derselben "origin" (also alles, was vom selben Server kommt) geschickt werden können (an alle Fenster und Tabs des Browsers), z.B. ein Event namens "forcelogout", das dann in alles Scripten abgefangen wird und dort ... na klar ... zum "harten Abbruch" führt
diese Features am besten in eine Library (authLib.php und authLib.js) zusammenführen und dann in JEDEM Script ganz am Anfang laden.

Es gilt wie schonmal geschrieben: Hier steht nun diese Idee. Ich werde sie sicher aufgreifen ... weiß aber nicht, wann das sein wird. Wer es eilig hat: Bitte wartet nicht darauf, zumindest nicht kurzfristig.

blubstar

ChristianM

Natürlich sind die einfachsten Lösungen immer schön (weil schön einfach). Es kommt halt darauf an, welche Anwendungsfälle du für relevant hältst und wie viel "kriminelle Energie" du "Angreifern" unterstellst ... oder für wie "bedienungs-blöd" du die Leute hältst (such's dir aus).

Hier (m)eine Prioritäten-Liste -- in dieser Reihenfolge halte ich es für wichtig:

Wenn sich im selben Browser ein neuer Webling-User im Webling-Portal anmeldet und dann auf das iFrame geht, dann muss der neue Webling User vom Script bedient werden und nicht der zuvor eingeloggte (logisch und deine Anfangsfrage).
Wir wollen aus Sicherheitsgründen die primäre Geheiminformation (das AccessSecret) möglichst selten übertragen, eigentlich nur beim unter Punkt #1 genannten "Erst-iFrame-Abruf". (jaja, eher eine technische Anforderung, keine UX-Frage, aber sie passt hierso schön hin).
Einfache Angriffe (z.B. Angreifer sendet anderes User-Id-Cookie, das geht ganz einfach) sollen erkannt und nicht bearbeitet werden.
In anderen Tabs von früheren Usern wird keine Aktion mehr angenommen.
Alle andere Tabs von früheren Usern gehen automatisch auf "Logout".
Es gibt einen Logout-Knopf in der Anwendung.
Ich will eine "angemeldet bleiben"-Funktion

Das schöne ist, du brauchst nicht alles machen, sondern kannst die oben genannten Anforderungen Schritt für Schritt umsetzen ... und dann einfach aufhören, wenn dir die Sicherheit ausreicht, z.B. schon nach Schritt 3.

Und zwar so (Nummerierung müsste zu den Anforderungen oben passen):

Wenn AccessSecret übertragen wird, MUSS es geprüft werden und dann ggf. neue Session. Das hatten wir schon
Dein Script sendet NIEMALS das AccessSecret (also anders als in meinem simplen Erst-Beispiel ohne Cookies), sondern öffnet eine Session mit der UserID als Session-Cookie. Über diese UserID weiß die Session dann bescheid (bis der Browser geschlossen wird).

ab jetzt: Mehraufwand

Dein Script (nicht nur der Cookie) merkt sich zusätzlich auch selbst, welche SessionId zu welcher UserID gehört und ändert dies NUR bei Login mit AccessSecret (das ist glaubhaft) oder bei Logout sowie Angriff (Zugehörigkeit löschen). Dann kann man solche Angriffe erkennen. Dieses "zweite Merken"muss auf dem Server passieren, z.B. in PHP in $_SESSION['UserId'] (im PHP-Framework) oder eine Datei pro SessionId (dann auf Dateisystem-Ebene sichtbar, gut für Debugging).

Und dann: als ZWEITE Prüfung (nach der ersten in Punkt #1) und VOR der eigentlichen Datenverarbeitung immer die Zuordnung SessionId zu UserId prüfen: Passt die UserId aus dem Cookie zu der auf dem Server gespeicherten UserId zu dieser Session? Ja-->gut, weiter, 200! Nein-->schlecht = Logout, 401 (unauthorized).
Passiert automatisch als Teil von 3.1 (ist wie Angriff: SessionId / UserId im Cookie passt nicht zur auf dem Server gespeicherten Zuordnung) --> hier wird klar, warum es Session-Cookies sein müssen.

ab jetzt: professionell

Für genau dieses Feature "Auto-Logout" braucht man einen "Messaging-Mechanismus". Denn die betroffenen Tabs (bzw. die darin laufenden Scripte) müssen ja selbst erkennen bzw.informiert werden, ob sie davon betroffen sind.
1. Möglichkeit 1 (die einfache) = selbst erkennen: Das Javascript fragt den Server regelmäßig, ob es selbst noch "eingeloggt" ist mit der dem Script bekannten UserId als GET/POST-Paremeter ... und verhält sich je nach 200 oder 401 entsprechend.
2. Möglichkeit zwei= informiert werden: Nutzen von Events zwischen den Browser-Tabs. Für Anfänger nicht zu empfehlen.
Für "angemeldet bleiben" darf zum "Merken" nicht die SessionId verwendet werden sondern ein Session-übergreifender (und auch Browser-Neustarts überlebender) "Permanent Cookie". Kommt eine Anfrage ohne solchen, einfach neu generieren (base64(random_bytes(32))). Existiert schon einer, dann prüfen, welcher User auf in Browser (der sich das ja merkt), immer noch eingeloggt ist. Und genau dafür muss man oben nicht die SessionId speichern und checken, sondern eben diese BrowserId.
Ganz einfach. Starte neue Session, lösche alle Session-Variablen, vor allem $_SESSION['UserId']

Wie gesagt: Vielleicht sind für dich erstmal nur die Punkte 1-2 oder 1-3 (+4 for free) relevant bzw. ein guter Startpunkt.

P.S.: Boah ey, ich hatte eigentlich nur eine kurze Antwort schreiben wollen. Aber da mir das auch alles bevorsteht ...

« Vorherige Seite