Sorgen über Sicherheit bei "Anmeldedaten in Link integrieren"

Beantwortet

Sorgen über Sicherheit bei "Anmeldedaten in Link integrieren"

Wenn man in der Schrittbenachrichtigung die "Anmeldedaten integrieren" Option wählt und einen derartigen Link bekommt:
https://xxxx/jobrouter/?cmd=directOpen&workflowid=ac7af67206a0f6d8422499f388e310710000049872&username=xxxxx&key=2f64c2bc809bfd4aa5f00a5b89c63386&jr_instance_id=3

Inwieweit ist dieser Key anderweitig missbrauchbar? Kann ich diesen z.B. nutzen um via URL Manipulation an einen anderen Schritt zu kommen? Kann ich mich damit bei der API authentifizieren? Ist dieser nur exakt für diesen Schritt gültig? Verfällt dieser?

  				
Gepostet 
	vor 3 Jahren

								Bearbeitet 
	vor 3 Jahren

					More
				  		
  Melden
		
					Stefan Köngeter
				
					309
					 × 7
					 Administrator

Versionen

Stimmen Neuste

Antworten

Dieser Link ist nur für diesen Schritt gültig. Er verfällt auch nicht. Sollte der Schritt inzwischen bearbeitet worden sein, dann wird der Schritt im üblichen "Bearbeitet"-Modus (also readonly) geöffnet.

Der Link kann nicht manipuliert werden, beispielsweise durch die Änderung der User-ID, da er gegen eine Checksum geprüft wird und dann als ungültig erkannt wird.

Der Key kann weder für die REST API noch für den Webservice genutzt werden.
Technisch gesehen ist es kein Cookie/Token welcher von einer Schnittstelle erkennt werden würde.
Dieser ist speziell nur für diesen Zweck genutzt und nicht anderweitig missbrauchbar.

 						
wiki
Gepostet 
	vor 3 Jahren

					More
				  		
  Melden
		
					Stefan Köngeter
				
					309
					 × 7
					 Administrator

Schreibe deine Antwort

5K Ansichten

1 Antwort

vor 3 Jahren

Stichwörter