Сейчас занимаюсь авторизацией в web-ирбисе и обнаружил у себя на локальном сервере вот такую интересность:
- если я в ссылку в параметр z21id вписываю число, и перехожу по ней, то я вхожу под учетной записью читателя с идентификатором, который я вписал.
- это же сработало и на версии 9.1
- Это же сработало и на [medlib.am] (взял ссылку из соседней ветки)
- Но в каталоге ГПНТБ не сработало.

Что и где нужно поменять, чтобы не повторялось такое некорректное поведение?

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)

Идентификация по идентификатору -- это концепция, на основе которой авторизация выполнялась в WEB ИРБИС с первых версий.

Для реализации более строгих методик проверки можно использовать CGIFLK.

Можно ли узнать, как реализована данная защита в электронном каталоге ГПНТБ?

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)

На сайте ГПНТБ механизм авторизации ничем не отличается от других сайтов WEB ИРБИС. Если бы он отличался, то заимствование из ИРБИС-корпорации через каталогизатор оказалось бы невозможным. Вероятно, ты использовал неверный идентификатор.

Кирилл, согласись, что данная возможность - считай, что дыра? Авторизация же должна все таки проходить через связку логин/пароль, а тут просто через номер читательского билета, указанные в параметре Z21ID в адресной строке.

Приведу еще раз пример. Из соседней ветки взял ссылку на электронный каталог Республиканской научно-медицинской библиотеки Арменни:
http_://medlib.am/cgi-bin/irbis64r_91/cgiirbis_64.exe?C21COM=F&I21DBN=ARMED&P21DBN=ARMED

Добавил параметр Z21ID=1515:
http_://medlib.am/cgi-bin/irbis64r_91/cgiirbis_64.exe?C21COM=F&I21DBN=ARMED&P21DBN=ARMED&Z21ID=1515

И зашел под учетной записью "Григорян Давид Спартакович" с доступом к "Моему формуляру" и "Моей корзине".

Моё мнение - это неправильно.

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)



Редактировано 3 раз. Последний раз 06.08.2010 15:22 пользователем iLq.

Кирилл Соколинский (СЗТУ) написал(а):
-------------------------------------------------------
> Вероятно, ты использовал неверный идентификатор.


То есть, если бы я использовал существующий (верный) идентификатор, то я бы также смог увидеть - чей он?

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)

Если внимательно почитать документацию, то можно найти параметр Z21FLAGID который как раз и определяет, нужно ли вводить оба идентификатора или только номера достаточно. Другое дело, что этот параметр полнейшая глупость. Он должен быть не в запросе из формы, а задаваться в ини-файле администратором. По этому опять же обходится с помощью CGIFLC принудительной установкой этого параметра в 1, если он не задан или если он равен не 1.

Примечание: не проверял. Только знаю, что в прежних версиях шлюза (еще до Кирилла) этот параметр работал.

Максим, спасибо. Попробую.

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)

Панев Максим написал(а):
-------------------------------------------------------
> этот параметр полнейшая глупость. Он должен быть
> не в запросе из формы, а задаваться в ини-файле
> администратором. По этому опять же обходится с
> помощью CGIFLC принудительной установкой этого
> параметра в 1, если он не задан или если он равен
> не 1.

И как его перенос в INI отразится на безопасности? Если авторизоваться попытается специалист(в ИРБИС, конечно), то он сделает именно то, что описывал Илья.


> Примечание: не проверял. Только знаю, что в
> прежних версиях шлюза (еще до Кирилла) этот
> параметр работал.

Это ничего не даст.

PS
Простым и доступным средством повышения безопасности WEB ИРБИС является увеличение длинны идентифкатора(пароля). У библиотек есть возможность использовать как минимум 28 символов. Разделение ключей доступа на логин и пароль не является условием повышения надёжности.
Менять существующий алгоритм работы с идентификатором -- означает менять интерфейсы ИРБИС-корпорации, ИРБИС-Аналитики, J-ИРБИС.

Панев Максим написал(а):
-------------------------------------------------------
> Если внимательно почитать документацию, то можно
> найти параметр Z21FLAGID который как раз и
> определяет, нужно ли вводить оба идентификатора
> или только номера достаточно. Другое дело, что
> этот параметр полнейшая глупость. Он должен быть
> не в запросе из формы, а задаваться в ини-файле
> администратором. По этому опять же обходится с
> помощью CGIFLC принудительной установкой этого
> параметра в 1, если он не задан или если он равен
> не 1.

Попробовал. При Z21FLAGID=1 фамилия должна соответствовать номеру. Делаю в URL=0, прохожу с любой фамилией.

Добавил в cgiflc 'Z21FLAGID=1'/ - не сработало.

Сделал вывод на страницу Z21FLAGID. Он оказался равен 11. Попробовал в флк менять и без строки в флк делать. Z21FLAGID всегда равен 1 плюс значение из либо флк, либо адресной строки.

Поведение параметра Z21FLAGID для меня осталось непонятным.

С уважением, Лазарев Илья (Научная Библиотека ВятГУ)

1. Предположение, что для установки Z21FLAGID можно использовать CGIFLK ошибочно. Это невозможно, т.к. авторизация выполняется до CGIFLK

2. Даже если бы существовала возможность жестко прописать Z21FLAGID=1, это привело бы лишь к неработоспособности всей подсистемы авторизации. Независимой команды авторизации в WEB ИРБИС не существует. Авторизация выполняется в фоновом режиме вместе с другими командами и если передача идентификатора по всем формам предусмотрена, то передача фамилии — нет.

Поэтому всем желающим повысить надежность авторизации можно рекомендовать только одно — увеличивать длину идентификатора.