OpenID Login Bug / Sicherheitsproblem!

[0perat0r]

Collabtive nutzt offenbar den vom OpenID-Provider gelieferten Namen als Loginkennung. Das äußert sich so:

Man kann bei einem OpenID-Provider die ID http://beispiel1.example.com registrieren, beim Provider "Max Mustermann" als Namen setzen und dann mit dieser ID einen Drupal-Account anlegen. Ein solcher Account ist dann aber mit "Max Mustermann" verknüpft, statt mit http://beispiel1.example.com.

Jeder andere kann nun bei einem OpenID-Provider eine andere ID, sagen wir http://example.com/andereID registrieren. Wenn er nun bei seinem OpenID-Provider den Namen "Max Mustermann" ins Profil setzt, kann er sich mit http://example.com/andereID einfach am Profil von oben anmelden, ob es seins ist oder nicht!

Statt mit Namen abzugelichen, sollte es in Collabtive die Möglichkeit geben eine oder mehrere OpenIDs (die URLs!) dem Account zuzuweisen!

[Philipp]

Ich denke, ich werde die openID Funktionalität im nächsten Release entfernen.
Die OpenID Implementierung die wir nutzen, basiert auf einer externen Klasse.

Ich habe auch bisher nicht den Eindruck das viele die OpenID Funktionalität nutzen.

[0perat0r]

Das ist schade. Langfristig wäre es besser die OPenID-Unterstützng zu drin zu lassen (und abzusichern).

Immer mehr popule Websites und Tool unterstützen openID (Google, Fcebook, Drupal), ich denke das ist gerade groß im kommen und ein Ausstieg der "falsche" Weg.

Das nicht viele die Funktion nutzen, liegt meines erachtens auch daran, dass es in Collabtive nicht gut funktioniert (nicht alle Provider können mit Collabtive verwendet werden)

Ich schaue mal, ob ich vielleicht ein OpenID-Modul für Collabtive gebastelt bekomme...

[0perat0r]

Ich habe mal schnell einen Fix für die Sicherheitslücke gebaut. Dazu sind einige wenige Änderungen in managuser.php notwendig gewesen. Diese betreffenden Zeilen sind mit dem Kommentar

Code: Select all

//OpenID

markiert.

Vielleicht kann der fix in die nächste Version eingebaut werden, bis es eine bessere Lösung gibt, statt die OpenID-Unterstützung eizustellen.

[Philipp]

Erstmal: danke für deinen Patch. So ist das natürlich am besten
Werde mir deinen Patch anschauen und eventuell in die nächste Version einbinden.

Das nicht viele die Funktion nutzen, liegt meines erachtens auch daran, dass es in Collabtive nicht gut funktioniert (nicht alle Provider können mit Collabtive verwendet werden)

Ich glaube leider eher das obwohl openID eine gute Idee ist, es sich nie in nennenswertem Umfang durchsetzen konnte.
OpenID ist imho immer ein Nischenprodukt gewesen das von ein paar wenigen technik-affinen usern genutzt wird.
Facebook Connect, Google connect u.ä. werden da den consumer-sign-on Markt unter sich aufteilen.
Im Enterprise Bereich wird sich eh nix davon durchsetzen da dort bereits LDAP beliebt ist.

[0perat0r]

Hallo, Liebe Programmierer und Nutzer!

Ich habe mich mal wieder dem alten Thema OpenID gewidmet.

Im letzten Release wurde ja wie "angedroht" die OpenID-Unterstützung aufgegeben. Das ist schade, und hat mich bis zum heutigen Tage vom Collabtive-Upgrade abgehalten.

Heute war mein Frust darüber so groß, dass ich beschlossen habe, den OpenId-Support für meine persönliche Collabtive-Installation neu zu implementieren.

Hab ihr interesse an diesem Mod? Falls ja bin ich gern bereit, euch den Source-Code als Patch zur Verfügung zu stellen. Bitte um Rückmeldung

[Philipp]

klar haben wir daran interesse

schau doch einfach mal in unseren github account unter https://github.com/philippK-de/Collabtive
Dort kannst Du unser repository forken / einen pull request mit deinem patch starten.

Dann schau ich ihn mir gern an

[0perat0r]

Hallo! Danke für die Antwort.

Ich habe da noch ein kleines Problem:

die Open-ID Funktion, welche ich meiner lokalen Installation beigebracht habe beruht auf dem von http://collabtive.o-dyn.de/ herunterladbaren Release-Version 0.7.6 vom Mai letzen Jahres.

Ich habe jetzt mal die entsprechende Version geforkt. Bin mir aber noch nicht sicher, ob euch das so etwas nützt?

Das ganze ist unter http://kommune10.dyndns.info:815/re-openid/ erreichbar (könnt ihr das dann einfach ziehen?)

Fragen über Fragen...

Grüße,
Stephan

[Philipp]

GIT ist ein versionskontrollsystem (ähnlich subversion... nur anders )
Wenn Du einen Patch direkt bei Github einreichen willst - musst du dich dort anmelden, das repo klonen, deine änderungen einbinden, und einen pull request gegen unser repository starten
dann kann ich das ganze (optimalerweise) mit einem klick mergen

falls dir das zu kompliziert ist / du keine erfahrung mit versionstools/git hast ... kannst du mir auch einfach nur die von dir veränderten Dateien als ZIP datei schicken. Ich schau dann das ich das merge

collabtive@o-dyn.de

Gruss
Philipp

[0perat0r]

Hey

Ja ich mache gerade meine ersten Schritte mit GIT. Das Prinzip dahinter ist mir durchaus vertraut.

Den von mir erstellten Fork findest du unter dem Link aus meinem vorigen Beitrag, kannst du von da pullen?