Navigation für IP-Bereiche

[ctschorsch]

Hallo zusammen,

ich brauch mal (wieder) ein kleines Brainstorming der Fachleute hier

Ich würde gerne für bestimmte IP Bereiche eine Seite freigeben, die sonst nur nach erfolgtem Frontend Loggin sichtbar ist. Noch besser wäre es, wenn der Navigationspunkt für diese IP Bereiche einfach "erscheint". Klar, ich könnte das unabhängig von Contenido machen und mit ner entsprechenden .htaccess das ganze sichern, aber das ist ja nicht schön.

Wo könnte ich das ganze ansetzen ? Gibts überhaupt eine Chance das in Contenido abzubilden ?

Gruss aus Aachen
Georg

[Spider IT]

Hallo Georg,

wenn es dir darum geht, diese Navigationspunkten ein- bzw. auszublenden, musst du dein Navigationsmodul anpassen.
Die aufrufende IP-Adresse erhälst du per

Code: Alles auswählen

$IP = $_SERVER['REMOTE_ADDR'];

Gruß
René

[ctschorsch]

Hey Rene,

danke, das ist schon mal ein guter Hinweis. Event. muss ich Aufgrund der IP einen "Fakelogin" im Frontend machen um an die Kategroie ranzukommen.

Georg

[Oldperl]

Hallo,

alternativ kann man sowas auch direkt in der Frontendloginklasse in der conlib mit implementieren. Ob das auch per CEC oder Plugin zu lösen ist müßte man sich anschauen.

Gruß aus Franken

Ortwin

[ctschorsch]

Hallo Ortwin,

da steckst du wie immer tiefer drin als ich

Ich seh halt gerade nur noch ein Problem mit diesem "fakelogin". Nehmen wir an, ich surfe von einer IP, die Zugriff auf die Kategorie X haben darf. Dann erkennt Contenido "oh, der user darf das" und gibt mir den Zugriff. Wenn ich dazu aber noch nen Frontenduser einlogge der Zugriff auf Kategorie X und Y hat ? Dann muss Contenido den richtigen Frontenduser irgendwie priorisieren oder die rechte zusammenfassen. Das scheint schon aufwendiger zu werden...

Georg

[Spider IT]

Muss es denn über ein Login laufen?
Wenn im Navi-Modul die IP geprüft wird, kann die Ausgabe der entsprechenden Links einfach unterbunden werden.
Dann sind die Kategorien nicht in der Navi und der Besucher kann sie auch nicht anklicken.
Die Seiten kann er dann nur besuchen, wenn er den genauen Link kennt (von jemand anderes erhalten hat).
Die Kategorien dürfen dann aber nicht geschützt sein.

Gruß
René

[ctschorsch]

Mmh, das ist dann ja wieder so eine "sicherheit durch verbergen", das ist nicht wirklich was ganzes )
Klar notfalls muss es so gehen...

G

[Oldperl]

Muss es denn über ein Login laufen?

...die sonst nur nach erfolgtem Frontend Loggin sichtbar ist.

Ich denke es muss. Contenido prüft ja beim Aufruf der (Unter-)Seite jedesmal auch, ob der aktuelle Nutzer die Erlaubnis hat diese Seite zu sehen. Daher würde nur der Einbau im Navi-Modul zwar die Kategorien anzeigen, beim Aufruf der Seiten aber ein Fehler bzw. der Aufruf der Fehlerseite die Folge sein.

Nutzt man ein FakeLogin würde das zwar schon funktionieren, man müßte aber dann zumindest eine Prüfung haben, ob der Nutzer nicht schon mit einem anderen FE-User eingeloggt ist. Hier muss man vorher schon ein klares Verhalten und Prioritäten festlegen bzw. einen kleinen Ablaufplan erstellen.

Gruß aus Franken

Ortwin

[ctschorsch]

Ich denke auch das es am Sinnvollsten ist das in der unterliegenden Rechteverwaltung unterzubringen. Vielleicht eine Erweiterung für die Frontend-Gruppe, d.h. für jede Gruppe können mehrere IP Bereiche angegeben werden und wer aus einem dieser Bereiche zugreift bekommt zugriff auf die geschützten Kategorien dieser Gruppe.

Aber wow, ob man das als Plugin machen kann ? Ich bezweifel das stark

G

[Oldperl]

...ob man das als Plugin machen kann ? Ich bezweifel das stark

Kann ich aus dem Stegreif auch nicht sagen, bestimmte Teile sicherlich, aber ich denke nicht Alles. Dazu müßte man sich aber zuvor etwas intensiver mit dem Core im Hinblick auf dieses gewünschte Feature unterhalten.

Gruß aus Franken

Ortwin

[kummer]

vorausgesetzt, es betrifft nur wenige seiten (oder ganze url-bereiche):

1. im htaccess eine rewrite conditiion machen, die auf die ip prüft und anschliessend eine rewrite rule, welche spezifische urls umleitet, falls die condition nach true auswertet. sprich, alles wird umgeleitet, wenn die ip nicht so ist, wie vorgesehen.
2. dann dürfte spider-its vorschlag mit der navi greifen.

das ganze ist dann so sicher, wie es aufgrund einer ip-sperre alleine halt sein kann.

besser als eine ip-sperre dürfte ein signierter request sein. das wäre bei einem zugriff von einem server aus kein problem. stichwort hmac-request. bei menschlichen benutzern würde ich ein zertifikat einsetzen. das ist erheblich besser, als nur eine ip-sperre. aber in der implementierung vermutlich bedeutend aufwändiger.

eine integration in den berechtigungskern bringt keine zusätzliche sicherheit. wer die ip maskiert, kommt rein. so oder so. für eine schnelllösung würde das also durchaus taugen.

[Oldperl]

besser als eine ip-sperre dürfte ein signierter request sein.

Wieso besser? Eigentlich 2 unterschiedliche Baustellen. http://framework.zend.com/manual/1.10/d ... ction.html
Gefragt war doch eigentlich bestimmte IP-Bereiche zuzulassen (also eigentlich gar keine IP-Sperre im klassischen Sinn).
Wenn man genau weiß welche bzw. wieviel Nutzer kann man diesen auch genausogut ein FE-Login geben bzw. in dem Moment auch mit einem signierten Request arbeiten, welcher dann das Login überflüssig machen würde. Diese Info ist hier aber offensichtlich nicht vorhanden bzw. nicht gefragt

Eine htaccess Lösung ist hier generell eine Idee, vor Allem wenn man AMR nutzt. Dadurch würde ein "Durchlassen" per IP-Bereich recht einfach machbar sein. Jedoch müßte man entsprechend Anpassungen vornehmen wenn sich z.B. Kategorien ändern oder hinzukommen. Auch ein zusätzliches Anzeigen bei vorhandenem FE-User (eingeloggt) aber nicht übereinstimmendem IP-Bereich wäre problematisch. Daher würde ich sowas nicht per htaccess lösen.

Gruß aus Franken

Ortwin

[kummer]

Wieso besser?

einfach weil sicherer. und in der pflege vermutlich auch einfacher. denn um diese zwei dinge geht es ja vermutlich. rein kommen ohne login = komfort, und aussen vor, wer nicht rein gehört = sicherheit. dieselbe baustelle, anderes werkzeug. ip-ranges zuzulassen ist nicht wirklich sicher. zumal man nur technisch einschränkt und spezifische nutzer damit nicht erfasst. im einzelfall kann es freilich durchaus sinnvoll sein. meist wird es allerdings nur eine der hürden sein.

Gefragt war doch eigentlich bestimmte IP-Bereiche zuzulassen (also eigentlich gar keine IP-Sperre im klassischen Sinn).

was bei genauerer betrachtung dasselbe ist. aus der bekanntermassen endlichen menge an ip-adressen wenige zuzulassen bedeutet nichts anderes, als die anderen zu sperren. und klar: nur für bestimmte url-muster.

Diese Info ist hier aber offensichtlich nicht vorhanden bzw. nicht gefragt

freundlich wie immer... gefragt war eine lösung für die formulierte anforderung. nach der reinen lehre (deren anwendung eben durchaus sinn macht), muss man zunächst die anforderungen von impliziten technischen spezifikationen trennen. was dann bleibt ist eine cug ohne login. brainstorming (yep, genau das war gefragt) funktioniert ohne scheuklappen im allgemeinen deutlich besser.

Jedoch müßte man entsprechend Anpassungen vornehmen wenn sich z.B. Kategorien ändern oder hinzukommen.

hängt halt vom konzept ab. man kann durchaus bestimmte urlmuster abfangen. liegen kategorien innerhalb bestimmter kategorien greift die sperre. das ist ein valables und verbreites verfahren. immerhin ist typischerweise die url vom dateisystem entkoppelt, weshalb man aus der url nicht zwingend ableiten muss (mindestens nicht aus der vollständigen), wo die abarbeitung erfolgt. bei einem cms wird sie ohnehin weitergereicht.

Auch ein zusätzliches Anzeigen bei vorhandenem FE-User (eingeloggt) aber nicht übereinstimmendem IP-Bereich wäre problematisch.

nicht unlösbar, denke ich mal. denn schützen könnte man die seiten trotzdem. und die url müsste ja - für die zwar gleiche seite - nicht notwendigerweise dieselbe sein. aber letztlich ist natürlich die annahme einer rolle aufgrund anderer kriterien als einem login durchaus sinnvoll. denkbar ist auch, die umleitung bei übereinstimmender ip nicht mehr auf front_content.php, sondern auf ein anderes skript umzulenken, welches einfach eine bestimmte rolle setzt und anschliessend die front_content.php inkludiert. oder ähnlich. oder eben über die cec abfrühstücken. wird wohl abhängig sein von den skills und dem knoff-hoff in der conti-welt.

[Oldperl]

...gefragt war eine lösung für die formulierte anforderung.

Stimmt, und da stand halt nix von bekannten Usern bei denen man mit deinen Techniken arbeiten kann, sondern

Ich würde gerne für bestimmte IP Bereiche eine Seite freigeben, die sonst nur nach erfolgtem Frontend Loggin sichtbar ist. Noch besser wäre es, wenn der Navigationspunkt für diese IP Bereiche einfach "erscheint".

Soviel zum Thema themenbezogenes Brainstorming.
Ich denke mal die Frage ist ausreichend diskutiert und beantwortet. Schönes Wochenende.

Gruß aus Franken

Ortwin

[ctschorsch]

Hey,

vielen Dank an die beiden Profis hier. Ich hab zwar immer noch keine Idee wie ich es umsetze, aber ich versuch mal das gelesene zu verstehen
Wenn ich eine Lösung habe, meld ich mich

Schönes WE

Georg