11
43
Fork
You've already forked base
6

Möglichkeit Passwort für Links zu vergeben #57

Open
opened 2021年06月05日 09:20:16 +02:00 by gerhardbeck · 8 comments

Um den Zugriff auf Links einschränken zu können, wäre es hilfreich, wenn man optional die Links bei teilen mit Passwörtern versehen könnte, so dass man dann nicht nur das Ticket, sondern auch ein Passwort bräuchte.

Mit Ticket ist gemeint:
grafik

Um den Zugriff auf Links einschränken zu können, wäre es hilfreich, wenn man _optional_ die Links bei teilen mit Passwörtern versehen könnte, so dass man dann nicht nur das Ticket, sondern auch ein Passwort bräuchte. Mit Ticket ist gemeint: ![grafik](/attachments/4b325070-8b76-414b-aa1f-79b3a3826bfa)
Owner
Copy link

Soll das Passwort dann für alles gültig sein, wie lange soll es per se gültig sein? Soll es ein Passwort geben zum Ansehen und eines zum Ansehen und Bearbeiten?

Soll das Passwort dann für alles gültig sein, wie lange soll es per se gültig sein? Soll es ein Passwort geben zum Ansehen und eines zum Ansehen und Bearbeiten?

Würde ein passwort für ein Ticket vergeben.
Gültigkeit würde ich nicht beschränken.

Zwischen Ansehen und bearbeiten würde ich nicht unterscheiden. Das kann ich ja z.B. in der Ideensammlung über die Rechte steuern.
Einfach, damit man es öffnen kann ein Zusatzschutz für vertraulichere Gespräche/Sammlungen/umfragen.

Würde ein passwort für ein Ticket vergeben. Gültigkeit würde ich nicht beschränken. Zwischen Ansehen und bearbeiten würde ich nicht unterscheiden. Das kann ich ja z.B. in der Ideensammlung über die Rechte steuern. Einfach, damit man es öffnen kann ein Zusatzschutz für vertraulichere Gespräche/Sammlungen/umfragen.
Member
Copy link

Ich erachte es als notwendig, die Anforderung noch etwas zu schärfen, denn die Ticket-Nummer im Beispiel ist ja gerade schon ein Schutz - beim Teilen ist natürlich die Ticket-Nummer dann in der URL. Man könnte argumentieren, dass man in solchen Fällen einfach nur den Link ohne die Ticket-Nummer übergeben müsste.

Was möchte man also im konkreten erreichen? Welches Schutzniveau soll erreicht werden?

  1. Links teilen, die direkt zur entsprechenden Ressource führt und dann nach einem einheitlichen Kennwort für die Ressource abfragt - das Kennwort darf hierbei nie über die URL geteilt oder akzeptiert werden?
    Muss das Kennwort bzw. den Zugriff auf die Ressource gecached werden, damit der Nutzer die Seite erneut aufrufen kann (bspw. bei F5) ohne das Kennwort einzutippen?

  2. Sollen nur bestimmte Personen Zugriff erhalten? => Wir benötigen eine Art Personalisierung? Bspw. pro Person ein eigenen Link?

  3. Können / Sollen mehere Kennwörter manuell festgelegt werden, damit man einzelnen hinterher den Zugriff auch wieder entziehen kann?

Ich erachte es als notwendig, die Anforderung noch etwas zu schärfen, denn die Ticket-Nummer im Beispiel ist ja gerade schon ein Schutz - beim Teilen ist natürlich die Ticket-Nummer dann in der URL. Man könnte argumentieren, dass man in solchen Fällen einfach nur den Link ohne die Ticket-Nummer übergeben müsste. Was möchte man also im konkreten erreichen? Welches Schutzniveau soll erreicht werden? 1. Links teilen, die direkt zur entsprechenden *Ressource* führt und dann nach einem einheitlichen Kennwort für die *Ressource* abfragt - das Kennwort darf hierbei nie über die URL geteilt oder akzeptiert werden? Muss das Kennwort bzw. den Zugriff auf die *Ressource* gecached werden, damit der Nutzer die Seite erneut aufrufen kann (bspw. bei F5) ohne das Kennwort einzutippen? 2. Sollen nur bestimmte Personen Zugriff erhalten? => Wir benötigen eine Art Personalisierung? Bspw. pro Person ein eigenen Link? 3. Können / Sollen mehere Kennwörter manuell festgelegt werden, damit man einzelnen hinterher den Zugriff auch wieder entziehen kann?

Ich dachte erstmal an 1.
Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser.
In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen.

Ich dachte erstmal an 1. Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser. In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen.
Member
Copy link

Ich dachte erstmal an 1.
Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser.
In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen.

Eine Rückfrage ist mir noch eingefallen @gerhardbeck: wenn man eine Kennwortgeschützte "Seite" einrichtet - muss die administrierende Person in der Lage sein, später das Kennwort wieder einzusehen oder ist es ausreichend zu sagen: das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden?

Die Antwort hat unterschiedliche Auswirkungen auf die Anforderungen serverseitig (muss Kennwort entschlüsselbar sein oder nicht?).

> Ich dachte erstmal an 1. > Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser. > In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen. Eine Rückfrage ist mir noch eingefallen @gerhardbeck: wenn man eine Kennwortgeschützte "Seite" einrichtet - muss die administrierende Person in der Lage sein, später das Kennwort wieder einzusehen oder ist es ausreichend zu sagen: das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden? Die Antwort hat unterschiedliche Auswirkungen auf die Anforderungen serverseitig (muss Kennwort entschlüsselbar sein oder nicht?).

Ich denke das einfachere zu programmieren. Mir fallen Usercases für beides ein.
Ich würde zu Zweiterem tendieren, aber beides kann sinnvoll sein
Daher: was einfacher ist

Ich denke das einfachere zu programmieren. Mir fallen Usercases für beides ein. Ich würde zu Zweiterem tendieren, aber beides kann sinnvoll sein Daher: was einfacher ist

Ich dachte erstmal an 1.
Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser.
In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen.

Eine Rückfrage ist mir noch eingefallen @gerhardbeck: wenn man eine Kennwortgeschützte "Seite" einrichtet - muss die administrierende Person in der Lage sein, später das Kennwort wieder einzusehen oder ist es ausreichend zu sagen: das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden?

Die Antwort hat unterschiedliche Auswirkungen auf die Anforderungen serverseitig (muss Kennwort entschlüsselbar sein oder nicht?).

Ich würde mich für "das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden" aussprechen.

Sollten Kennwörter nicht grundsätzlich nur verschlüsselt vorliegen (und ggf. mit einem Salt des Hashes) abgelegt werden? 😅

> > Ich dachte erstmal an 1. > > Beispiel: ich verwende die Ideensammlung für etwas vertrauliches. Da ist der Schutz per Ticket etwas, aber zusätzlich über ein Passwort wäre noch besser. > > In meiner Vorstellung könnte man in den Einstellungen der Ideensammlung festlegen,ob man ein Passwort haben möchte und es bei Bedarf festlegen. > > Eine Rückfrage ist mir noch eingefallen @gerhardbeck: wenn man eine Kennwortgeschützte "Seite" einrichtet - muss die administrierende Person in der Lage sein, später das Kennwort wieder einzusehen oder ist es ausreichend zu sagen: das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden? > > Die Antwort hat unterschiedliche Auswirkungen auf die Anforderungen serverseitig (muss Kennwort entschlüsselbar sein oder nicht?). Ich würde mich für "das Kennwort kann zwar jederzeit neu gesetzt oder generiert werden, aber es kann nicht später erneut angezeigt / ausgelesen werden" aussprechen. Sollten Kennwörter nicht grundsätzlich nur verschlüsselt vorliegen (und ggf. mit einem Salt des Hashes) abgelegt werden? 😅
Member
Copy link

Sollten Kennwörter nicht grundsätzlich nur verschlüsselt vorliegen (und ggf. mit einem Salt des Hashes) abgelegt werden? 😅

Korrekt. Verschlüsselt heißt aber nicht zwangsläufig, dass es unumkehrbar ist. Es gibt durchaus valide Anwendungsfälle wo ein Kennwort wieder entschlüsselbar sein muss. Oder wie funktionieren sonst die Kennwortmanager? ;)

> Sollten Kennwörter nicht grundsätzlich nur verschlüsselt vorliegen (und ggf. mit einem Salt des Hashes) abgelegt werden? 😅 Korrekt. Verschlüsselt heißt aber nicht zwangsläufig, dass es unumkehrbar ist. Es gibt durchaus valide Anwendungsfälle wo ein Kennwort wieder entschlüsselbar sein muss. Oder wie funktionieren sonst die Kennwortmanager? ;)
Sign in to join this conversation.
No Branch/Tag specified
main
dev
vue3
feature/ticket_117
weblate
master
experimental
v.0.9.1
v.0.9
v.0.8.2
v.0.8.1
v.0.8.0
v.0.7.0
0.7
v0.6.0
v0.30
v0.2.0
v0.12
v0.11
v0.1
Labels
Clear labels
Kind/Breaking
Breaking change that won't be backward compatible
Kind/Bug
Something is not working
Kind/Documentation
Documentation changes
Kind/Enhancement
Improve existing functionality
Kind/Feature
New functionality
Kind/Security
This is security issue
Kind/Testing
Issue or pull request related to testing
Priority
Critical
The priority is critical
Priority
High
The priority is high
Priority
Low
The priority is low
Priority
Medium
The priority is medium
Reviewed
Confirmed
Issue has been confirmed
Reviewed
Duplicate
This issue or pull request already exists
Reviewed
Invalid
Invalid issue
Reviewed
Won't Fix
This issue won't be fixed
Status
Abandoned
Somebody has started to work on this but abandoned work
Status
Blocked
Something is blocking this issue or pull request
Status
Need More Info
Feedback is required to reproduce issue or to continue work
Kind: Enhancement
improvement of a feature
Kind: Feature
Something totally new
Kind: Interesting for Wiki
to be saved in the wiki
Kind: invalid
Something is wrong
Kind: Question
More information is needed
Kind: Security
Relevant for security
Kind:bug
Something is not working
Priority: High
Priority: Low
Priority: Medium
Status: Contribution welcome
Contributions are very welcome, get started here
Status: Duplicate
This issue or pull request already exists
Status: External problem
There is an external problem
Status: Help wanted
Need some help
Status: In progress
Someone's working on it
Status: In review
we're testing a possible solution
Status: next release
All tested and ready for the next release
Status: Starters
This is a good task to start helping lerntools
Status: Tests neededd
Need some tests for locating the problem
Status: won't fix
This won't be fixed
vue3
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
4 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
lerntools/base#57
Reference in a new issue
lerntools/base
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?