Antw: [Mapbender-users] Login & MeetingPoint

[Lars-Hendrik Schneider]

Hallo,

Ronald Woita schrieb:
> Hallo Herr Jäger,
> 
> auf den ersten Blick stimme ich Ihnen zu, daß es bedenklich ist Nutzer/passwort im Klartext in der URL mit zu übergeben.
> Wir nutzen Mapbender als Auskunftssystem sowohl im Intranet als auch für jeden zugänglich im Internet.
> Selbst im Intranet nutzen nahezu 90%  (von ca. 400 regelmäßigen Usern) die Standard-GUI quasi ohne Anmeldung.
> (GEO-Daten sind halt für alle da ;-) 
> Für diesen Nutzer sowie für den Internet-Besucher ist der public 'dummy' völlig egal, da dieser hoffentlich eh nur lesenden Zugriff auf die GUI hat.
> Um diesem Nutzerkreis, der sich selber ja nicht autorisiert, die MeetingPoint Funktion zur Verfügung zu stellen,muß also in der URL ein Nutzer mit übergeben werden.
> 
> Wie sollte denn z.Bsp. eine Autorisierung stattfinden, wenn ein angemeldeter User per Mail den 'Meeting Point' an jemanden verschickt, der gerade nicht angemeldet und ggf. für diese GUI gar nicht autorisiert ist?
> 

... demnach sollte diese Funktion tunlichst nur in öffentliche und 
unkritische GUIs eingebaut werden um niemanden zu verleiten, seine 
Zugangsdaten (automatisch generiert) ungewollt in die Welt zu mailen.

Die Meetingpointfunktion mangelt m.E. derzeit noch an einem 
Schönheitsfehler - der ellenlangen URL (ich erinnere an das wordwrap 
nach 70 Zeichen in den meisten E-Mailclientprogrammen) - die bei manchen 
Programmen ein doppeltes Copy-Paste benötigen, da die URL gern mal nur 
für die erste Zeile und damit nur einen Teil der Weisheit darstellen.

Wir haben die Meetingpointfunktion in diversen Ausbaustufen schonmal 
besprochen gehabt (hausintern von Mann zu Mann, Mann zu Frau, Frau zu 
Frau, usw.). Mir schwebt da immer noch eine Funktion a la
http://www.meinserver.de/mapbender/meetingpoint.php?meetID=md5zufallszahl

die dann die Daten aus einer kleinen Tabelle herbeizaubert, da kann man 
dann auch Timestamps ("Dieser Link verfällt nach 24h") usw. dranhängen. 
Aber ich bin froh, daß Astrid Emde da endlich die Grundlage geschaffen 
hat, die auch ohne tiefgründige Eingriffe in die MB-Grundstruktur auskommt!

Grüße,
Lars-Hendrik

> 
> mit freundlichen Grüßen
> 
> Ronald Woita
> 
> 
> 
> --
> Ronald Woita
> Hansestadt Rostock
> Kataster-, Vermessungs- und Liegenschaftsamt
> Holbeinplatz 14, 18069 Rostock
> email: ronald.woita at rostock.de 
> phone: +49 (0)381 - 381 6256
> 
>>>> F.Jaeger at KRZ.DE 07.11.2006 09:28 >>>
> ** DE **
> 
> Hallo Mapbenders,
> bis zur MB-Version 2.2.3 konnte man seinen Mapbender-Client über den Parameter "Bounding-Box" (&mb_myBBOX=) sehr einfach neu positionieren.
> 
> Wenn man bereits angemeldet war, brauchte man in der URL keine Zugangsdaten übermitteln (User und Passwort). Wir haben diese Funktion in Fachanwendungen eingebaut um eine Verbindung von Fachdaten und GIS zu schaffen. Eine Koordinate in den Fachdaten reicht dazu.
> 
> Seit Version 2.4 ist diese Verbindung nicht mehr benutzbar, weil die überarbeitete login.php (so vermute ich) jetzt immer die Parameter "&name=" und "&password=" verlangt.
> 
> Das ist aus meiner Sicht ein Rückschritt und Datenschutzrechtlich bedenklich. Das Mapbender-Passwort müsste in allen angebundenen Fachanwendungen gespeichert werden. Diese Änderung haben wir nicht nachvollzogen.
> 
> Ich würde mir wünschen, dass die Änderung dieser Verhaltensweise der BBOX-Funktion rückgängig gemacht wird.
> 
> 
> Meeting-Point
> 
> Ich habe mir die neue Funktion "Meeting Point" angesehen:
> 
> Hier ein Beispiel:
> http://wms1.ccgis.de/mapbender_dev/frames/login.php?name=demo&password=demo&mb_user_myGui=meetingPoint&mb_myBBOX=3488740,5762404.389534884,3498810,5769605.610465116&mb_myPOI=Komm_zum_KRZ,3494610,5766280 
> 
> Der Anwender kann damit selbst URLs mir den Parametern "Bounding-Box" (&mb_myBBOX=) und "Point Of Interest" (&mb_myPOI=) generieren. Beschreibung siehe: http://www.mapbender.org/index.php/MeetingPoint 
> Die URLs können dann z.B. als Email verschickt werden.
> 
> Zu meinem Erschrecken musste ich feststellen, dass in der generierten URL auch Benutzerkennung und Passwort enthalten sind. So ist die Funktion nach meiner Mainung nicht zu gebrauchen. Man kann den Benutzer doch nicht veranlassen, seine Zugangsdaten per Email zu verschicken. Er merkt es möglicherweise gar nicht, wenn er den internen Aufbau der URL nicht interpretieren kann.
> Da die login.php zur Zeit nicht ohne diese Parameter funktioniert (s.o.), müssen sie aus formalen Gründen enthalten sein.
> Aus Datenschutzgünden ist die Funktion so aber in einer produktiven Umgebung nicht benutztbar.
> 
> Das ist ein Grund mehr, die login.php so zu ändern, dass sie auch ohne User und Passwort in der URL neu positioniert werden kann. 
> 
> 
> ** EN **
> 
> until MB 2.2.3 you could use the parameter "&mb_myBBOX=" in an URL for positioning the GUI from an external application. Before you have to log in once.
> 
> Since MB 2.4 you have to serve the parameters "&name=" and "&password=" in every URL.
> Therefore you have to save User and Password in every external Application. That's not save an no good practice.
> 
> The new function "Meeting-Point" (see links in DE) generates URLs for BBOX and POI.
> But also "name" and "password" are part of this URL. The User will send this as Email or put his password on a Website!
> 
> If "login.php" works without this parameters (as in 2.2.3) this wouldn't be needed in "Meeting-Point".
> 
> 
> Mit freundlichen Grüßen
> Frank Jäger
> 
> KRZ
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscribe at mapbender.osgeo.org 
> For additional commands, e-mail: users-help at mapbender.osgeo.org 
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-unsubscribe at mapbender.osgeo.org
> For additional commands, e-mail: users-help at mapbender.osgeo.org
>