website issueshttps://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues2020-05-09T19:41:05+02:00https://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/382Interner Fehler bei falschen Import URLs2020-05-09T19:41:05+02:00Magnus GiesbertInterner Fehler bei falschen Import URLsWenn man beim import eine URL eingibt welche nicht ganz korrekt ist https://bsp.de oder ähnliches, so bekommt man die Interne Fehler Anzeige statt dem vorgesehenen flash('falsche url'+url) auf der Import seite. Das liegt scheinbar an ein...Wenn man beim import eine URL eingibt welche nicht ganz korrekt ist https://bsp.de oder ähnliches, so bekommt man die Interne Fehler Anzeige statt dem vorgesehenen flash('falsche url'+url) auf der Import seite. Das liegt scheinbar an einem Problem in fetch_ro_course_events in import.pyhttps://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/385Login-namen mit belibiegem whitespace wird akzeptiert2020-10-21T20:45:00+02:00Magnus GiesbertLogin-namen mit belibiegem whitespace wird akzeptiertWenn man sich einloggt, so kann man den login-namen mit beliebig vielen Leerzeichen anreichern (bsp. statt "videoag", " vi d e oag") und er wird trotzdem akzeptiert. Dasselbe gilt nicht für Passwörter.Wenn man sich einloggt, so kann man den login-namen mit beliebig vielen Leerzeichen anreichern (bsp. statt "videoag", " vi d e oag") und er wird trotzdem akzeptiert. Dasselbe gilt nicht für Passwörter.https://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/387Password Authentifizierung ohne HTTP Baseauth2021-10-04T23:40:08+02:00Roman KarwacikPassword Authentifizierung ohne HTTP BaseauthZurzeit verwirrt es viele Nutzer wenn sie durch HTTP Baseauth nach dem Passwort gefragt werden. Intuitiver wäre es direkt auf der Lecture-Seite zu implementieren, dann könnte man auch gleich dazuschreiben wie man (nicht) an dieses Passwo...Zurzeit verwirrt es viele Nutzer wenn sie durch HTTP Baseauth nach dem Passwort gefragt werden. Intuitiver wäre es direkt auf der Lecture-Seite zu implementieren, dann könnte man auch gleich dazuschreiben wie man (nicht) an dieses Passwort kommt (könnte man natürlich auch in den HTTP Auth Dialog schreiben, aber ich denke das ist schöner).https://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/388Umgehung von authentifizeirung für Video zugriff2021-09-15T00:52:36+02:00Magnus GiesbertUmgehung von authentifizeirung für Video zugriffDer freundlichen Hinweis von Nils ging der per mail an video@
> Die Zugriffskontrolle für Videodateien ist leicht umgehbar, d.h. alle Videos sind ohne Authentifizierung zugänglich.
> Das Problem liegt an fehlerhaften URL-Decoding bei ...Der freundlichen Hinweis von Nils ging der per mail an video@
> Die Zugriffskontrolle für Videodateien ist leicht umgehbar, d.h. alle Videos sind ohne Authentifizierung zugänglich.
> Das Problem liegt an fehlerhaften URL-Decoding bei Aufruf von [/internal/auth](https://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/blob/master/server.py#L434) durch nginx. Gewollt war, dass für Thumbnails keine Zugriffsberechtigung erforderlich ist, jedoch wird nur geprüft ob die URL auf "jpg" endet, was nicht notwendigerweise dem (Datei-)Pfad entspricht.
>
> Daher wird z.B. https://rwth.video/files/pub/anleitung/anleitung-aufbau-grundlagen-720p.mp4 korrekt abgelehnt,
> jedoch https://rwth.video/files/pub/anleitung/anleitung-aufbau-grundlagen-720p.mp4?jpg zeigt das entsprechende Video auch ohne Berechtigung.
Möglicher Fix:
entweder: die url vor `urllib.parse.unquote` bei "?" splitten und alles vor dem ersten "?" nehmen (query interessiert an der Stelle ja niemanden)
oder: `urlparse` statt `unquote` nutzen um an den pfad zu kommen, danach kann man immer noch `unquote` nehmen um zeichen zu dekodieren.https://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/390Zugriffsrechte: Bei Nutzername/Passwort werden Sonderzeichen nicht escaped2021-10-13T23:09:40+02:00Fredrik KonradZugriffsrechte: Bei Nutzername/Passwort werden Sonderzeichen nicht escapedWenn man einer Vorlesung die Zugriffsrechte "Passwort" geben will, dann werden sonderzeichen nicht escaped, sondern
in klartext gespeichert. Das führt dazu, dass ein " im Passwort den rest komplett abschneidet, was an diesem Screenshot
e...Wenn man einer Vorlesung die Zugriffsrechte "Passwort" geben will, dann werden sonderzeichen nicht escaped, sondern
in klartext gespeichert. Das führt dazu, dass ein " im Passwort den rest komplett abschneidet, was an diesem Screenshot
ersichtlich wird:
![image](/uploads/e4509d7ac9a3f78f3dfc2364099f9528/image.png)
An sich geht das Passwort zwar noch weiter, jedoch wird in dem Textfeld unten nur der Teil bis zu dem " angezeigthttps://git.fsmpi.rwth-aachen.de/videoaginfra/website/-/issues/391ob Shibboleth abgeschaltet werden kann2022-02-22T15:46:56+01:00Christoph Rackwitzob Shibboleth abgeschaltet werden kannRZ lässt fragen. Ging durch Marcel Straub (marcel@asta).
> Eine Auswertung unserer Logdateien hat ergeben, dass im gesamten Jahr 2021 keine Authentifizierungsvorgänge für diese ServiceProvider stattgefunden haben.
>
> Daraus schließen ...RZ lässt fragen. Ging durch Marcel Straub (marcel@asta).
> Eine Auswertung unserer Logdateien hat ergeben, dass im gesamten Jahr 2021 keine Authentifizierungsvorgänge für diese ServiceProvider stattgefunden haben.
>
> Daraus schließen wir, dass Sie diese nicht wie geplant benötigen und zum Schonen unserer Ressourcen werden wir die genannten ServiceProvider aus unserer Konfiguration entfernen.
>
> Die Abschaltung erfolgt am 23.03.2022.
Kann also weg?