9
Clientzugriff auf Intranet Websites einschränken.
Folgendes Problem:
Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der Administratorenzugang einen Benutzerlogin hat.
Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten aus einer Datenbank eines Zeiterfassungsprogramms auszulesen und diese schön formatiert darzustellen.
Auf dem Win2008 Srv läuft ein Apache und eine MSSQL DB
Nun zu meinem Problem.
Man kann verschiedene Ansichten im Adminbereich anlegen.
z.B.
Ansicht User, Buchhaltung und HR
Nun werden die Ansichten durch folgende Url aufgerufen:
Serverip:Port/Unterordner/Status?Ansicht=<Name der Ansicht>
Also mit
Serverip:Port/Unterordner/Status?Ansicht=User
werden die Daten angezeigt, wobei hier vertrauliche Daten nicht angezeigt werden.
Für Buchhaltung werden beispielsweise einige vertrauliche Daten angezeigt, welche beispielsweise für die Buchhaltung notwendig sind.
die HR Abteilung bekommt ähnlich wie bei der Buchhaltung andere vertrauliche Daten angezeigt.
Nun haben wir folgendes Problem
ein User, welcher schlicht die URL der HR oder Buchhaltung bekommen würde, könnte die vertraulichen Daten einsehen.
Gibt es eine möglichkeit, umd die URL mit einem expliziten Parameter für eine Gruppe von Benutzern zu sperren (über GPO z.B)?
In meinen Augen gibt es drei Möglichkeiten
Umprogrammieren des Webmoduls
GPO -> EXPLIZIT die URL mit einem Parameter sperren (ein User soll ja weiterhin auf die Ansicht für User zugreifen können)
htaccess -> wobei hier scheinbar nur Verzeichnisse oder Dateien gesperrt werden können, da es die selbe Datei ist und nur einen anderen Parameter beinhaltet, wirds schwierig.
lg Chris
Man kann verschiedene Ansichten im Adminbereich anlegen.
z.B.
Ansicht User, Buchhaltung und HR
Nun werden die Ansichten durch folgende Url aufgerufen:
Serverip:Port/Unterordner/Status?Ansicht=<Name der Ansicht>
Also mit
Serverip:Port/Unterordner/Status?Ansicht=User
werden die Daten angezeigt, wobei hier vertrauliche Daten nicht angezeigt werden.
Für Buchhaltung werden beispielsweise einige vertrauliche Daten angezeigt, welche beispielsweise für die Buchhaltung notwendig sind.
die HR Abteilung bekommt ähnlich wie bei der Buchhaltung andere vertrauliche Daten angezeigt.
Nun haben wir folgendes Problem
ein User, welcher schlicht die URL der HR oder Buchhaltung bekommen würde, könnte die vertraulichen Daten einsehen.
Gibt es eine möglichkeit, umd die URL mit einem expliziten Parameter für eine Gruppe von Benutzern zu sperren (über GPO z.B)?
In meinen Augen gibt es drei Möglichkeiten
Umprogrammieren des Webmoduls
GPO -> EXPLIZIT die URL mit einem Parameter sperren (ein User soll ja weiterhin auf die Ansicht für User zugreifen können)
htaccess -> wobei hier scheinbar nur Verzeichnisse oder Dateien gesperrt werden können, da es die selbe Datei ist und nur einen anderen Parameter beinhaltet, wirds schwierig.
lg Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186513
Url: https://administrator.de/contentid/186513
Printed on: April 24, 2024 at 18:04 o'clock
9 Comments
Latest comment
man .htaccess
lks
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.
Dazu habe ich bzgl htaccess nichts gefunden.
Hast du mir bitte genauere Informationen?
lg
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.
Dazu habe ich bzgl htaccess nichts gefunden.
Hast du mir bitte genauere Informationen?
lg
Moin,
warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...
Gruß
warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...
Gruß
Moin,
Also mal im Ernst: ich würde den Drittanbieter in den A.... treten. Mit solcher Software rasselt ihr durch jegliche Audits (und notfalls durch alle Gerichtlichen Instanzen).
Ein Lösungsansatz wäre die Ansichten auf verschiedene Scripts aufzuteilen (Vertaulich.php, Allgemein.php) und dann das entsprechende Script per .htaccess (ggfs. mit dahintergeschlatetem LDAP/AD) für einzelne User/Gruppen freizugeben. Alles andere ist Frickelkram und ggfs. mit jedem Smartphone das über WLAN dranhaengt zu umgehen.
g,
Slainte
Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der
Administratorenzugang einen Benutzerlogin hat.
Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten [...] darzustellen.
Administratorenzugang einen Benutzerlogin hat.
Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten [...] darzustellen.
Also mal im Ernst: ich würde den Drittanbieter in den A.... treten. Mit solcher Software rasselt ihr durch jegliche Audits (und notfalls durch alle Gerichtlichen Instanzen).
Ein Lösungsansatz wäre die Ansichten auf verschiedene Scripts aufzuteilen (Vertaulich.php, Allgemein.php) und dann das entsprechende Script per .htaccess (ggfs. mit dahintergeschlatetem LDAP/AD) für einzelne User/Gruppen freizugeben. Alles andere ist Frickelkram und ggfs. mit jedem Smartphone das über WLAN dranhaengt zu umgehen.
g,
Slainte
Zitat von @cyber40014:
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.
Einfach Benutzer-Authentifikation mit htaccess mit dem apache machen und alle, die keine benutzerkennung im Apache haben, kommen da nicht weiter.
Nachtrag: Sehe gerade, daß es beidesmal benutzergruppen sind, die draufdürfen und nicht die jeweils anderen sehen dürfen. Ich dachte, da sollen einfach alle Ausgesperrt werden.
Idee: Ändere doch status.php so, daß er abfragt, mit welchem "apache-user" der Benutzer sich authentifiziert hat und dementsprechend soll er dann reagieren.
nachtrag2: Die Idee von SlainteMhath ist natürlich noch einfacher. mach einfach zwei Skripten Status.php-Ansicht-A.php Status.php-Ansicht-B.php, die einfach eine Kopie von Status.php sind und die Ansichten fix vorgegeben haben. Dann ist die beeinflussung durch htaccess trivial.
Dazu habe ich bzgl htaccess nichts gefunden.
Hast du mir bitte genauere Informationen?
Hast du mir bitte genauere Informationen?
https://httpd.apache.org/docs/current/howto/htaccess.html
Zitat von @nikoatit:
Moin,
warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...
Gruß
Moin,
warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...
Gruß
Das hindert aber die Computer, die sich nicht an die GPO halten, daran, trotzdem die URL aufzurufen. (Stichwort, Live-CD, BYOD).
lks
Ja das mit den Scripts kopieren ist mir auch gekommen, vorallem weil das Modul nicht sonderlich komplex aufgebaut ist.
Also generell zeigt das Ding halt Mitarbeiterstammdaten sowie die Anwesenheit an und normale Mitarbeiter außerhalb der HR sollten nicht mehr sehen, als den Namen und die Durchwahl und ob der MA auf zB Dienstreise ist, Anwesend oder Abwesend.
Also generell zeigt das Ding halt Mitarbeiterstammdaten sowie die Anwesenheit an und normale Mitarbeiter außerhalb der HR sollten nicht mehr sehen, als den Namen und die Durchwahl und ob der MA auf zB Dienstreise ist, Anwesend oder Abwesend.
Muss es unbedingt Apache sein? Gerade unter Windows bietet sich der IIS an. Da kannst du auch mit Benutzergruppen auf Ordnerebene arbeiten. Wenn du die Scripte kopierst... In Windows-Domänen-Umgebungen ist der IIS die bessere Wahl.
Ja, andere Dienste (ERP etc aufen drauf).
€: Das Problem hat sich durch den BR und die genannten Sicherheitsmängel von selbst gelöst
lg
€: Das Problem hat sich durch den BR und die genannten Sicherheitsmängel von selbst gelöst
lg
