Links im Programmcode

[Michel_61]

Moin, mal ne blauäugig gefragt was die Links im Programmcode alle bedeuten.

Im Forum sind bei mir sämtliche Bots ausgesperrt, Gäste haben nur Leseberechtigung für extra für sie bestimmte Beiträge.
Android und Apple sind mir ein Greul, Windows ist auf dem Weg dahin ebenfalls eins zu werden. Jedenfalls ist Verschlüsselung in letzter Zeit ein Thema geworden mit dem ich mich beschäftige und nun schau ich mir die 3.1 mal etwas genauer an, stolprere über den einen oder anderen Link innerhalb der Dateien und schau mir mal den Ordner Vendor genauer an und mir wird schlecht.
Sorry, aber was ist das? Lusitanian?

O-Auth1=BitBucket, Etsy, FitBit, Flickr, Scoop.it!, Tumblr, Twitter, Xing, Yahoo,

O-Auth2= Amazon, BitLy, Box, Dailymotion, Dropbox, Facebook, Foursquare, GitHub, Google, Harvest, Heroku, Instagram, LinkedIn, Mailchimp, Microsoft, PayPal, Pocket, Reddit, RunKeeper, SoundCloud, Ustream, Vkontakte, Yammer,

more to come!

Ich hab keine Ahnung zu was es gut ist, aber da kann man ja hier mal nachfragen. Ich mein, kann es theoretisch möglich sein das Dateien manipuliert werden und Foren ihren Inhalt wo hinsenden können? Welche Sicherheiten stecken da noch drin? Hat es denn überhaupt noch zweck Suchmaschinen auszusperren wenn man sie nicht will, kann das nicht durch die Services umgangen werden?

Wäre schön wenn man mich ahnungslosen nicht nur belächelt sondern aufklärt, denn nach den ganzen Lauschaktionen hab ich irgendwie kein Bock mehr auf irgendwelche Hintertürchen für irgendwelche Datensammelagenturen die mir das Fell über die Ohren ziehen wollen.

[Dr.Death]

http://de.wikipedia.org/wiki/OAuth

Ein Endbenutzer (User) kann mit Hilfe dieses Protokolls einer Anwendung (Forum) den Zugriff auf seine Daten erlauben (Autorisierung), die von einer anderen Anwendung (Amazon, BitLy, Box, Dailymotion, Dropbox, Facebook, Foursquare, GitHub, Google, Harvest, Heroku, Instagram, LinkedIn, Mailchimp, Microsoft, PayPal, Pocket, Reddit, RunKeeper, SoundCloud, Ustream, Vkontakte, Yammer) verwaltet werden, ohne alle Details seiner Zugangsberechtigung zur anderen Anwendung (Authentifizierung) preiszugeben.

Damit das funktioniert braucht man vom entsprechenden Service Anbieter eine Schnittstelle (API) der das entfernte Login an die Anwendung (Forum) weitergibt.

Beispiel: Du könntest Dein vorhandenes Facebook Login als Forum Login benutzen ( Es wird dazu das Facebook Login mit dem Forums Login "verknüpft" )
Keiner der beiden Seiten (weder Facebook noch das Forum) kennt dadurch die eigentlichen Login Daten.

Anleitung dazu:
https://www.phpbb.com/community/viewtop ... p=13698871
http://www.designaesthetic.com/2012/03/ ... h-php-sdk/


Also: Keine Angst, solange Du kein O-Auth konfigurierst kann nichts passieren. Das Ganze dient nur dazu, dem Foren Anwender das Leben leichter zu machen und sich mit vorhandenen Logins anzumelden. Aber der Anwender kann sich immer noch mit seinen eigenen phpBB Anmeldedaten anmelden.

[Michel_61]

Danke für die schnelle Antwort.

Das beruhigt mich zwar ein wenig, aber im Endeffekt kann man dann im Zweifel darauf verzichten und die Daten löschen?

Alle Forumsuser haben seinerzeit beschlossen Tapatalk nicht zu installieren weil die Daten über deren Server laufen. Privatssphäre ist bei uns ganz gross geschrieben.
Braucht es für irgendwelche Forenfunktionen überhaupt links zu irgendwelchen Webseiten im Programmcode?

Ich denke, da kann ja sonst was mit aufgerufen werden, kontrollieren kann das ja keiner, oder?

[Dr.Death]

Nein, bitte nichts löschen!


Du kannst jederzeit prüfen, ob Du O-Auth verwendest oder nicht:

ACP --> Allgemein --> Authentifizierung --> Authentifizierungs-Methode wählen: Db

Nur wenn dort "Oauth" steht und Du zusätzlich noch die Keys und Secrets vom externen Service einträgst wird eine zusätzliche Login Möglichkeit auf der echten Anmelde Seite dargestellt.


EDIT: Momentan funktioniert der Facebook Login leider nicht, da es einen Bug in phpBB 3.1 RC3 gibt. Dieser ist in der momentan DEV Version RC4 bereits behoben.

Es werden auch keine echten Daten zwischen den Servern ausgetauscht...das ganze funktioniert so:

Man erstellt bei dem betroffenen, externen Service Anbietern eine Schnittstelle.
Der externe Service Anbieter stellt dann einen "Key" und ein "Secret" bereit.
Den Key und das Secret wird dann in der Foren Datenbank hinterlegt.
Somit kann das Forum mit dem Service Anbieter eindeutig kommunizieren.
Wenn sich nun ein User auf der Foren Anmeldeseite sich mit dem Login Button "Facebook" (Beispiel Facdebook) anmelden möchte passiert folgendes:

Das Forum sendet an die Facebook API den im Forum hinterlegten Key und Secret.
Facbook API antwortet: OK, Key und Secret sind in Ordnung
Forum sagt: User "xyz" möchte sich anmelden, ist das OK?
Facebook fragt nun den User nach seinem Facebook Login und überprüft es.
Wenn der Facebook Login ok ist, sendet die Facebook API ein verschlüsseltes "OK" an die in der Facebook API hinterlegten WebSite (also Dein Forum).
Das Forum sieht: Oh, der User hat sich erfolgreich in Facebook anmelden können (es erfährt nicht die Login Daten, sondern nur den Status: Anmeldung erfolgreich)
Nun frag das Forum: Willst du dieses Facebook Login mit deinem User Login vom Forum "verknüpfen" ?
Der User muss dies nun mit seinem Foren Login nochmals bestätigen.
Erst jetzt wird in der Forendatenbank ein verschlüsselter "o-Auth Token" für den User gespeichert.

Wenn sich der User nun abmeldet und erneut auf der Anmeldeseite im Forum auf den "Facebook" Button klickt wird der Key, das Secret und der gespeicherte Hashkey vom User an Facebook gesendet, der überprüft das Facebook Login und sendet erneut ein "OK, alles klar, ich kenne den User".
Danach ist der User im Forum angemeldet.


Ich hoffe, das ich den Vorgang korrekt wiedergegeben habe......

[Michel_61]

Danke, das habe ich verstanden!

Mir gehts hauptsächlich darum das generell in vielen Dateien Links zu irgendwelchen Seiten gestzt sind. Es sind ja nicht nur die OAuth^s, in der navbar_header wird zu irgendwelchen Breadcrumps verlinkt und ich weiss nicht in welchen Dateien sonstwo auch noch auf irgendwelche Seiten verlinkt wird, da wird es wohl haufenweise Funktionsmöglichkeiten geben die man verlinken kann.

Mir geht es im eigentlichen darum das überhaupt auffällig viel verlinkt wurde und ich als "Nichtprogrammierer" und unwissend dessen was dahinter steht und wie das funktioniert, mir nicht künstlich eine Sicherheitslücke mit der Forensoftware reinhole.
Wer will hinterher kontrollieren was hinter dem Link steht und dafür auch noch garantieren? Im Zeitalter wo Microsoft seine Domain von Skydrive ändert, Firmen wie AVG und Norton ihtre Domains von Cloudanwendungen ändern, wer garantiert dafür das nicht irgendwie die Links irgendwann einmal zu abhörzwecken oder von sonstigen Dritten zum ausspähen missbraucht werden könnten?

Von meinem Verständnis her wäre eine alternative Zuschaltung von Diensten über Links, beispielsweise über das ACP, die elegantere Lösung. Dann ist der Admin der das geschaltet hat derjenige welcher, aber so weiss doch niemand ernsthaftig auf was er sich einlässt mit der Verlinkerei in den Programmdateien.

Ich mein, das war doch auch in der 3.0.x nicht notwendig.

[Dr.Death]

Ich glaube kaum, das in dieser Open Source Software versteckte Links vorhanden sind.....


...übrigens sind "Bread Crumps" Navigationshilfen innerhalb des Forums.....

...aber wenn Du derart unsicher bist, solltest Du keinerlei Forensoftware verwenden, die Du nicht selbst programmiert hast

[TW1920]

Ich glaube kaum, das in dieser Open Source Software versteckte Links vorhanden sind.....


...übrigens sind "Bread Crumps" Navigationshilfen innerhalb des Forums.....

...aber wenn Du derart unsicher bist, solltest Du keinerlei Forensoftware verwenden, die Du nicht selbst programmiert hast

Sehe ich auch so.

Solltest du bedenken haben bei einem bestimmten Link kannst du den Auszug gerne Posten
Das obrige sind zudem keine Links sondern Namen ^^

Komplette Sicherheit gibt es nicht!!!

Mal ne wichtige Frage: Nutzt deine Seite https, also habt ihr ein Zertifikat für eure Webseite?

EDIT: Geht man nach der verlinkten Webseite nutzt ihr kein SSL - das sehe ich in den Fall wohl deutlich kritischer als deine anderen Bedenken zu den anderen Diensten

Eure Passwörter und sonstigen Daten die ihr eingebt im Forum werden im Klartext gesendet, d.h. Jeder kann die Daten abfangen/mitlesen oder manipulieren oder sogar beides. Gut, auch verschlüsseln garantiert nichts, aber es erschwert das ganze und verhindert, dass es JEDER ohne Probleme kann

[Gast234254]

phpBB 3.1.0-RC4 ~ Build 2325
styles/prosilver/template/navbar_header.html

Code: Alles auswählen

	<ul id="nav-breadcrumbs" class="linklist navlinks" role="menubar">
		<!-- DEFINE $MICRODATA = ' itemtype="http://data-vocabulary.org/Breadcrumb" itemscope=""' -->
		<!-- EVENT overall_header_breadcrumbs_before -->
		<li class="small-icon icon-home breadcrumbs">
			<!-- IF U_SITE_HOME --><span class="crumb"><a href="{U_SITE_HOME}"{$MICRODATA} data-navbar-reference="home">{L_SITE_HOME}</a></span><!-- ENDIF -->
			<!-- EVENT overall_header_breadcrumb_prepend -->
			<span class="crumb"><a href="{U_INDEX}" accesskey="h"{$MICRODATA} data-navbar-reference="index">{L_INDEX}</a></span>
			<!-- BEGIN navlinks -->
				<!-- EVENT overall_header_navlink_prepend -->
				<span class="crumb"><a href="{navlinks.U_VIEW_FORUM}"{$MICRODATA}<!-- IF navlinks.MICRODATA --> {navlinks.MICRODATA}<!-- ENDIF -->>{navlinks.FORUM_NAME}</a></span>
				<!-- EVENT overall_header_navlink_append -->
			<!-- END navlinks -->
			<!-- EVENT overall_header_breadcrumb_append -->
		</li>
		<!-- EVENT overall_header_breadcrumbs_after -->

		<!-- IF S_DISPLAY_SEARCH and not S_IN_SEARCH -->
			<li class="rightside responsive-search" style="display: none;"><a href="{U_SEARCH}" title="{L_SEARCH_ADV_EXPLAIN}" role="menuitem">{L_SEARCH}</a></li>
		<!-- ENDIF -->
	</ul>

<!-- DEFINE $MICRODATA = ' itemtype="http://data-vocabulary.org/Breadcrumb" itemscope=""' -->

' itemtype="http://data-vocabulary.org/Breadcrumb"

http://data-vocabulary.org/Breadcrumb

[Dr.Death]

Dieser "Link" dient zur Definition der zu verwendenden "itemtypes"

Siehe auch:
https://html.spec.whatwg.org/multipage/microdata.html
http://www.schema.org/docs/gs.html#micr ... e_itemtype

[Gast234254]

Würde das dann bedeuten, wenn man phpBB 3.1 in einem z.B. Firmennetzwerk ohne Internet Anbindung einsetzen würde, das diese Funktion Breadcrumb dann nicht funktionieren würde?