• Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen
    • Suche
    • Registrieren
    • Anmelden

    Ungelöst Oauth2 bei gleicher Email Adresse

    Fragen
    2
    4
    116
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • DJSudermannD
      DJSudermann
      zuletzt editiert von

      Beim testen von Oauth2 mit unserer Moodle Instanz wurde das CT Konto einer Person, dessen Kind mit der gleichen Email Adresse bei CT hinterlegt ist, mit dem Moodle Konto seines Sohnes verknüpft.
      Nach weiterem Testen habe ich festgestellt, dass auch bei der Wordpress Oauth2 Anbindung (Über das Authorizer Plugin) die Email Adresse der identifizierende Schlüssel ist.
      Ist das bei Oauth2 Zwangsweise so? Wenn ja würde das bedeuten, dass zum Beispiel dieses Kind bei seinem CT anmelden und darüber an die Wordpress / Moodle Privilegien des Vaters kommen könnte, falls da nicht entsprechend drauf geachtet wird.
      Oder kann ich die ID / Den Benutzernamen ähnlich wie bei LDAP als eigentlichen Identifier nutzen?

      DJSudermannD 2 Antworten Letzte Antwort Antworten Zitieren 0
      • DJSudermannD
        DJSudermann @DJSudermann
        zuletzt editiert von

        Außerdem ist das eine potentielle Sicherheitslücke.
        Folgendes Szenario:
        Person A ist Leiter des Homepage Teams und hat entsprechend Admin Zugriff auf die Wordpress Instanz
        Person B ist Mitarbeiter für Blogbeiträge und hat entsprechend eingeschränkte Rechte.
        Jetzt ändert Person B ihre CT Email Adresse zu der von Person A und gelangt also über den Oauth2 Login an das Wordpress Konto von Person A

        Ist das ein User Fehler in der Konfig von WP / Moodle oder tatsächlich ein potentielles Risiko?

        Die Rechtevergabe für die Nutzung ist schonmal gut, gar keine Frage, vermeidet aber nicht die falsche Zuordnung und den Datenleck innerhalb von z.B. Teams

        1 Antwort Letzte Antwort Antworten Zitieren 0
        • DJSudermannD
          DJSudermann @DJSudermann
          zuletzt editiert von

          Oder soll ich die Bedenken lieber an den Support melden?

          svenwanzenriedS 1 Antwort Letzte Antwort Antworten Zitieren 0
          • svenwanzenriedS
            svenwanzenried @DJSudermann
            zuletzt editiert von

            @DJSudermann Ich hatte OAuth2 letzte Woche auch getestet. Ich verstehe es so, dass CT einfach die beschriebenen Daten liefert (glaube ID, Name, Email und Gruppenzugehörigkeit). Wass die Drittanwendung damit macht kann CT nicht kontrollieren. Nextcloud (mit der Social-Login-App) z.B. nimmt die ID-Nummer aus Churchtools und die Bezeichnung der OAuth-Verbindung (bei mir "CT") und setzt daraus eine Benutzer-ID zusammen z.B. CT-2353. Weiter wird dann noch der volle Name beim Benutzer eingetragen sowie die E-Mail Adresse und das Benutzerbild in Nextcloud eingetragen.

            Ich kenne Moodle und WordPress nicht gut. Wenn da allerdings als einziges Einzigartiges Merkmal die E-Mail-Adresse dient, dann wird es wohl so sein, dass die E-Mail Adresse dort als ID genommen wird.
            Abgesehen davon, dass ich es unsäglich finde, dass ChurchTools mehrere Accounts mit gleicher E-Mail Adresse zulässt (und man dies nicht blockieren kann) ist es nunmal so, dass die E-Mail-Adresse nicht einzigartig ist bei CT.

            Die OAuth-Implementation von CT lässt leider (noch?) nicht so viel Anpassungen zu. Zum Beispiel noch ein zusätzliches Attribut zu benennen und dies während dem OAuth Prozess mitzuliefern. In gewissen Drittsystemen lässt sich zudem einstellen, welches Attribut als "uid" verwendet werden soll.

            1 Antwort Letzte Antwort Antworten Zitieren 0
            • Erster Beitrag
              Letzter Beitrag