Company Tickets sichtbar über Suche

[Mobios]

Hallo,
ich bin mir nicht sicher, ob ich gegeben falls etwas übersehen habe.

Test Umgebung: OTRS 5.0.15 Addon: OTRSAppointmentCalendar/ CentOS 7.
Ältere Versionen z.B. OTRS 5.0.10 weisen das identische Verhalten auf.

Scenario:
Module OTRS Firmentickets soll aktiv sein, jedoch begrenzt über eine Gruppe (g_companytickets) auf z.B. die Bereichsleiter.

Grundsätzlich funktioniert auch alles wie es sein soll. Nur die "Bereichsleiter" mit der zugeordneten Gruppe "g_companytickets" können Firmentickets einsehen und erhalten den Menü Eintrag. Dies funktioniert auch wunderbar über mehrer CustomerID´s.

Die Gruppenberechtigung wurde jedoch allen Kundenbenutzern testweise entzogen.


Die Aktion ist wie erwünscht nicht berechtigt "Action=CustomerTicketOverview;Subaction=CompanyTickets":

Der Kundenbenutzer sieht nur noch seine eigenen Tickets und der Menü Eintrag "Firmen Tickets" ist nicht mehr vorhanden




Jetzt ist aufgefallen, das man über die Suche entweder über die Kundennummer oder gezielt die Tickets eines Kundenbenutzer (Suche über "Von") mit gleicher Kundennummer auslesen kann und somit die Einschränkung umgeht.


Angezeigt werden dann alle Tickets dieser Kundennummer


Wie es mir scheint, wird mit der Suche, die die über Gruppen Berechtigungen eingeschränkte Funktion View CompanyTickets der Action=CustomerTicketOverview;Subaction=CompanyTickets, umgangen.
Deaktiviere ich in der SysConfig CompanyTickets, kann ich die CompanyTickets wie gewünscht auch nicht über die Suche ausgeben.

Habe ich hier etwas übersehen?

Über Feedback würde ich mich freuen.

LG

[reneeb]

Schau mal, ob es aktuell schon den Parameter Ticket::Frontend::CustomerDisableCompanyTicketAccess gibt...

[Mobios]

Hallo Reneé,
ja klar den gibt es und wurde mit berücksichtig



Wenn ich hier das Firmenticket Feature global deaktiviere (auf JA), dann kann ich über die (customer.pl) Suche auch nicht mehr die Firmentickets über die KdNR Suche finden, also es verhält sich wie erwartet.

Lasse ich es jedoch global aktiviert (auf NEIN/default) und begrenze über ModuleRegistration und Gruppenberechtigungen die Action CustomerTicketOverview;Subaction=CompanyTickets kann man zwar die Action nicht mehr aufrufen, jedoch über die Suche kann ich alle Firmentickets nach wie vor einsehen, oder gezielt nach einem Kunden suchen (mit gleicher KdNr.) und die Tickets auslesen.

[Mobios]

Es verhält sich alles wie gewünscht, bis ich darauf gestoßen bin, das Daten anderer Kunden auch ohne Berechtigung (ModuleRegistration/ Gruppen) über die Kundenfrontend Suche aus dem Kundennummern Kreis abgerufen werden können (oder einen Kunden aus dem Nummernkreis in der "von" Suche ebenfalls aus geben kann).

Ich weiß nicht ob das so erwünscht ist, da dies u.a. sensible Daten sein können (z.B. Tickets der Geschäftsführung), oder ob ich irgendwo etwas übersehen haben könnte.

Unter normalen Bedingungen hätte ich das gar nicht bemerkt, da korrekter weise "Permission denied" zu der Action=CustomerTicketOverview;Subaction=CompanyTickets angezeigt wird und alle Kunden die nicht in der Berechtigungsgruppe zugeführt wurden, wie gewünscht, nicht den Menüpunkt erhalten "Firmen Tickets".

[reneeb]

OTRS verhält sich da korrekt. Denn das mit der ModuleRegistration bezieht sich eben nur auf die Aktion...

[Mobios]

Das habe ich schon fast befürchtet.

Bedeutet dies dann nicht auch, das dies ein Sicherheitsproblem darstellt, welches u.a. die Einsicht in sensible Daten ermöglicht?

Macht dies die ganze Konfiguration nicht überflüssig? Wenn obwohl die Funktion der Einsicht in die Firmen Tickets über ModuleRegistration per Gruppen Berechtigung ge-white listed wurde, trotz allem "nicht berechtigten" Kunden alle Tickets in Ihrem Nummern-kreis einsehen können?

Vielleicht fehlt mir gerade das Verständnis, aber ich empfinde es als bedenklich, wenn ich mir trotz gesetzter Berechtigung mir Zugang zu sensiblen Daten verschaffen kann.
Nach meinem Verständnis müsste die Berechtigung für die Kunden Frontend Suche ebenfalls angepasst werden, um eine Suche in unberechtigten Datenfelder zu unterbinden.

Oder liege ich komplett falsch?

[reneeb]

Die Berechtigung in ModuleRegistration bezieht sich nur auf diesen einen Dialog. Stell Dir vor, es gibt noch weitere Dialoge, die irgendetwas mit Firmentickets machen (z.B. eine Seite für Abteilungsleiter mit einer besonderen Darstellung von Firmentickets). Dann hast Du für diese Dialoge eigene Konfigurationsoptionen in ModuleRegistration. Wenn Du mit der Einstellung für die Firmenticketübersicht andere Dialoge beeinflussen würdest wäre das bedenklich. Jeder Dialog darf nur für sich selbst zuständig sein.

Deswegen gibt es hier die zentrale Option. Damit ist das auch kein Sicherheitsproblem. Man kann ja Firmentickets komplett ausschalten.

Und was meinst Du mit "nicht-berechtigten Datenfeldern"?

[Mobios]

Hallo Reneé,
vielen Dank für deine Antwort.

Ich habe mich auf die "berechtigten" Felder in der Suche bezogen. Das war nicht so gut formuliert.

Wenn ein Kunde keine Berechtigung auf "Firmen Tickets" durch die Berechtigungsgruppe in der ModuleRegistration erhalten hat, müsste ich diesen Kunden auch die Möglichkeit entziehen, über die Suche nach "Kundennummer" oder über "von" nach Tickets andere Kollegen suchen zu können. Da mit der Suche die eingeschränkte Berechtigung "Firmen Ticket" Ansicht umgangen werden kann.

In der Suche muss ich lediglich nach meiner Kundennummer suchen und erhalte dann trotz allem eine komplette Ansicht der "Firmen Tickets". Also auch im schlimmsten Fall sensible Tickets der Vorgesetzten. Obwohl ich zur Ansicht der Firmentickets nicht berechtigt worden bin.

Daher auch meine initiale Frage, ob ich ein Konfiguration Punkt übersehen habe, z.B. Einschränkung der Such Optionen für die Felder. (z.B. Kundennummer oder Von). Alternativ könnte man über Modul Registration die Suche komplett deaktivieren. Was aber auch nicht so schön ist, da ich gegeben Falls als Kunde ja auch nach alten Tickets suchen möchte.

LG

[reneeb]

Wenn gar nichts mit Firmentickets gemacht werden darf, muss die SysConfig-Option von oben aktiviert werden. Dann sollten die auch über die Suche nicht mehr auffindbar sein. Wenn das doch der Fall ist (*Aktivierte Option* und die FIrmentickets werden über die Suche gefunden), dann ist das ein Bug.

[Mobios]

• Ticket::Frontend::CustomerDisableCompanyTicketAccess auf NEIN (also die globale Funktion Firmen Tickets aktiviert)
• Über ModuleRegistration Gruppenberechtigung eingeschränkt Action=CustomerTicketOverview;Subaction=CompanyTickets
• Kunde "Max Mustermann" hat keine Berechtigung auf Action=CustomerTicketOverview;Subaction=CompanyTickets
• Kann aber trotzdem über Suche z.B. Kundennummer, alle Firmentickets einsehen

• Ticket::Frontend::CustomerDisableCompanyTicketAccess auf JA (also die globale Funktion Firmen Tickets deaktiviert)
• Über ModuleRegistration Gruppenberechtigung eingeschränkt Action=CustomerTicketOverview;Subaction=CompanyTickets (ist aber ja eh global deaktivert)
• Kann über Suche z.B. Kundennummer, keineFirmentickets einsehen

Also noch einmal für mein Verständnis (Entschuldigung wenn ich mich gerade etwas schwer tue)
Bei global eingeschalteten Feature "Firmen Tickets" jedoch über ModuleRegistration begrenzt auf eine Berechtigungsgruppe, ist es ein "gewünschtes" OTRS Verhalten, das ich trotz keiner "Firmen Tickets" Berechtigung, über die Suche z.B. nach Kundennummer, die begrenzte Berechtigung umgehen kann und alle Firmen Ticktes angezeigt bekomme.

Die einzige Möglichkeit die ich zur Zeit sehe als Workaround bei nicht akzeptabler Abschaltung des globalen Features "Firmen Tickets", die komplette Suche Action=CustomerTicketSearch ebenfalls aufzuheben mit einer whitelist (Gruppe). Dann könnte der reguläre Kunde aber auch keine eigenen Tickets mehr suchen.
Alternativ könnte vielleicht den Code anpassen um Suchelemente wie "Kundennummer" auszukommentieren.


Das kann ich sehr gut nachvollziehen und da hast du ja recht:

Die Berechtigung in ModuleRegistration bezieht sich nur auf diesen einen Dialog. Stell Dir vor, es gibt noch weitere Dialoge, die irgendetwas mit Firmentickets machen (z.B. eine Seite für Abteilungsleiter mit einer besonderen Darstellung von Firmentickets). Dann hast Du für diese Dialoge eigene Konfigurationsoptionen in ModuleRegistration. Wenn Du mit der Einstellung für die Firmenticketübersicht andere Dialoge beeinflussen würdest wäre das bedenklich. Jeder Dialog darf nur für sich selbst zuständig sein.
....

Es müsste wie du oben beschrieben hast, noch einen weiteren Dialog geben, die Suchelemente (wie Kundennummer, Von) ebenfalls zu konfigurieren, bzw. Gruppen zuzuweisen. Das gibt es aber nicht. (afaik).
Das Feature Firmen Tickets global ein oder auszuschalten kann nicht die Option sein, wenn z.B. Bereichsleiter berechtigt werden sollen auf Ihre Firmen Tickets Zugriff zu erhalten. Denn dafür hätte ich ja die ModuleRegistration, was aber hinfällig ist, wenn über die Suche dies umgangen werden kann.

Ich kann nicht glauben, wenn ich keine Konfiguration übersehen habe, das dies ein gewünschtes Verhalten sein kann.

[jojo]

Ich kann nicht glauben, wenn ich keine Konfiguration übersehen habe, das dies ein gewünschtes Verhalten sein kann.

Doch, ist es (wie Renée bereits schrieb).

[reneeb]

Also noch einmal für mein Verständnis (Entschuldigung wenn ich mich gerade etwas schwer tue)
Bei global eingeschalteten Feature "Firmen Tickets" jedoch über ModuleRegistration begrenzt auf eine Berechtigungsgruppe, ist es ein "gewünschtes" OTRS Verhalten, das ich trotz keiner "Firmen Tickets" Berechtigung, über die Suche z.B. nach Kundennummer, die begrenzte Berechtigung umgehen kann und alle Firmen Ticktes angezeigt bekomme.

Die einzige Möglichkeit die ich zur Zeit sehe als Workaround bei nicht akzeptabler Abschaltung des globalen Features "Firmen Tickets", die komplette Suche Action=CustomerTicketSearch ebenfalls aufzuheben mit einer whitelist (Gruppe). Dann könnte der reguläre Kunde aber auch keine eigenen Tickets mehr suchen.
Alternativ könnte vielleicht den Code anpassen um Suchelemente wie "Kundennummer" auszukommentieren.

Mit auskommentieren ist es auch nicht getan. Wenn ein Agent die Parameternamen kennt, könnte er/sie immer noch die Suche über die URL-Zeile entsprechend mit Kundennummer auslösen. Dann hast Du immer noch den Informations-Leak.

Weiterhin könnte ja das "customer_ids" aktiv sein. Dann macht auch die Suche nach Kundennummer Sinn, selbst wenn der Kundenbenutzer nur seine eigenen Ticket durchsuchen kann.

Es geht eigentlich nur über den Weg eines extra (neuen) Suchdialogs, bei dem fest verdrahtet als Suchkriterium der Kundenbenutzer des Tickets hinterlegt wird.

[Mobios]

Hallo Jojo,
vielen Dank für dein Kommentar.
Aber das ist doch ganz nach der Aussage "not a bug, its a feature"?

In diesem Fall sind doch die Konfigurations-Dialoge nicht zu Ende gedacht worden?
Denn nach dieser Aussage gibt es entweder global Firmen Tickets an oder aus. Alles andere wird durch die Suche ausgehebelt.

Ich kann doch nicht auf der einen Seite die Möglichkeit bieten, die Ansicht der Firmen Tickets über Module Registration an Gruppen zu binden, aber auf der anderen Seite keine Konfiguration-Dialoge in der SysConfig Ebene zur Verfügung stellen, die Kunden Suche auf Firmen-Tickets einzuschränken, ohne diese entweder wieder an oder aus zu setzen.
Da wiegen sich doch etliche Administratoren in falscher Sicherheit, die die Firmen-Tickets nur z.B. der Leitung zur Verfügung stellen, insbesondere, wenn diese sensible Daten beinhalten, wie HR Tickets. Da ich einfach über die Suche alles einsehen kann.

Das ist doch bedenklich.

[Mobios]

Mit auskommentieren ist es auch nicht getan. Wenn ein Agent die Parameternamen kennt, könnte er/sie immer noch die Suche über die URL-Zeile entsprechend mit Kundennummer auslösen. Dann hast Du immer noch den Informations-Leak..

Das das habe ich mir auch schon gedacht.

Weiterhin könnte ja das "customer_ids" aktiv sein. Dann macht auch die Suche nach Kundennummer Sinn, selbst wenn der Kundenbenutzer nur seine eigenen Ticket durchsuchen kann.

Das Stimmt. Da ist uns das auch erst aufgefallen, als wir ein Kunden getestet haben mit mehreren Kundennummern, aber keine Berechtigung der Firmen-Ticket Ansicht

Es geht eigentlich nur über den Weg eines extra (neuen) Suchdialogs, bei dem fest verdrahtet als Suchkriterium der Kundenbenutzer des Tickets hinterlegt wird.

So stelle ich mir das vor.

[jojo]

Hallo,

es steht Dir jederzeit frei ein Permission Modul zu entwickeln um Deine Bedürfnisse abzubilden. Aktuell funktioniert das ganze wie beschrieben und funktioniert bei 100.000en von Installationen.

[Mobios]

Hallo,
Aktuell funktioniert das ganze wie beschrieben und funktioniert bei 100.000en von Installationen.

Ach mensch Jojo, das ist doch wirklich keine Aussage. Du bist wieder kurz angebunden. Es können auch 100 Millionen Installationen sein. Das ist doch völlig egal. Es macht es höchstens umso kritischer. Mir ist es auch erst nach 10 Jahren aufgefallen durch einen Zufall.
Ich habe mir die Mühe gemacht das anzusprechen.

[jojo]

Wie bereits mehrfach geschrieben, die Software macht das ganze genau so wie es designed und beabsichtigt wurde. Wenn Du was anderes brauchst, dann investiere die Zeit und/oder das Geld und ändere es. Es ahndelt sich hierbei weder um einen Bug (hier ist auch nicht die Plattform einen zu melden) noch um ein Sicherheitsissue.

[FabianReichardt]

Hallo Zusammen,

genau das gleiche Problem ist mir heute auch aufgefallen, das obwohl der "offensichtliche" Zugriff deaktiviert ist (Gruppe -> Modul Zugriff) )über die Suche alle Tickets zu sehen sind, wenn Ticket::Frontend::CustomerDisableCompanyTicketAccess auf Nein steht.

Wie jojo es schon angesprochen hat, müsste hier wohl eine entsprechendes Modul entwickelt werden, welches das abfangen kann. Vielleicht hat das ja schon jemand erstellt, oder Ähnliches umgesetzt? Eventuell Renée (reneeb)?

Viele Grüße
Fabian

[Mobios]

Leider ist dieses "its not a bug its a feature" immer noch in OTRS 6 vorhanden.

[jojo]

Wie bereits geschrieben arbeitet das ganze genauso wie es designed und entwickelt wurde. Um das zu erreichen was Du willst, brauchst Du ein entsprechendes Permissionmodul das entsprechend entwickelt werden muss.

[Mobios]

Wie bereits geschrieben arbeitet das ganze genauso wie es designed und entwickelt wurde. Um das zu erreichen was Du willst, brauchst Du ein entsprechendes Permissionmodul das entsprechend entwickelt werden muss.

Ja, da hast du vollkommen recht. Es arbeitet genauso wie es entwickelt wurde. Fehlerhaft designed. Die gesetzten Berechtigungen zur Ansicht der CompanyTickets werden zwar berücksichtigt unter "CustomerTicketOverview;Subaction=CompanyTickets" aber nicht in der "CustomerTicketSearch" Ansicht.

Die einzige Möglichkeit zur Zeit, um diesen kritischen Zustand zu umgehen ist, dem Kundenbenutzer die CustomerTicketSearch Ansicht per Modulregistration komplett zu entziehen, und damit auch die Möglichkeit nach eigenen vergangenen Tickets zu suchen.

Wie du richtig anmerkst muss ein Permissionmodul auch auf die "CustomerTicketSearch" Ansicht entwickelt werden. Dies ist bisher versäumt worden.
Oder wie Renée letzes Jahr auch schon vorgeschlagen hat, könnte der CustomerUser fest verdrahtet als Suchkriterium hinterlegt werden.

Zu behaupten das dies arbeitet wie designed, finde ich fahrlässig gegenüber den "100.000en von Installationen" mit CompanyTicket Berechtigungen.

[jojo]

Du hast einfach einen anderen Anwendungsfall. Kunden die einen entsprechenden Usecase haben, sind auch sicher gerne Bereit eine entsprechende Kundenspezifische Anpassung zu bezahlen.

[quickndirty]

Hallo zusammen,

Ich will kein Öl ins Feuer gießen, aber ich finde, jojo macht es sich da ein bisschen einfach. Ich sehe es sehr wohl als validen (und nicht "besonderen" oder "anderen") Anwendungsfall, bestimmten Kundennutzern die Einsicht in Firmentickets zu gestatten und anderen eben nicht - wenn das Feature schon da und konfigurierbar ist. Wenn dann die Suche unabhängig von Kundengruppen/Einschränkungen immer alle Ergebnisse liefert, ist das in meinen Augen sehr wohl ein Bug/Leak/Security Issue. Auf der anderen Seite verstehe ich, dass OpenSource-Entwickler mit bestimmten Features oder extra Dienstleistungen und Anpassungen Geld verdienen wollen, und das unterstütze ich gern. Aber da hat in der Tat jemand nicht zu Ende gedacht, wenn Ihr mich fragt.

mein Hintergrund: Ich bin gerade selbst darüber gestolpert, und ich habe (auch in Anbetracht von aktuellem Datum und Zeit) ziemlich heiße Ohren gekriegt. Dankenswerterweise ist bei uns die Einsicht von Firmentickets aus Datenschutzgründen generell nicht gestattet und ich kann nur hoffen, dass das bislang niemand entdeckt und großflächig missbraucht hat. Jetzt hab ich die Geschichte jedenfalls mit dem vorgesehenen Flag komplett abgeschaltet.

alternativer Lösungsvorschlag: Ich weiß, das ist ein Mordsaufwand und auch nicht für alle Anwendungsfälle praktikabel, aber ich habe in einem anderen System schon einmal eine andere Praxis implementiert: vorausgesetzt, man etabliert Queues, die nicht ausschließlich die interne Team-Struktur, sondern auch die Kundenstruktur abbilden (in diesem Fall dann eine Queue für jede Firma oder jede Abteilung die einen MA mit legitimierter Einsicht stellt), dann kann man diese "Abteilungsleiter" als Agenten ins System holen und mit eingeschränkten Rechten (z.B. ro) ausschließlich auf diese Queue berechtigen. Ja, Kunden als Agenten im System tun ein bisschen weh (notwendige Abschaltung diverser Features bzw. Berechtigungen, das Problem von "internen" und "externen" Artikeln usw.), aber so kann man wenigstens das interne Feature der Firmentickets ausgeschaltet lassen und trotzdem spezifischen Personen die Ansicht der Tickets Ihrer Firma ermöglichen.

Vielleicht hilfts ja, ich bin jedenfalls froh, dass ich mich damit aktuell nicht auseinander zu setzen brauche..

Euch allen schöne Feiertage und einen guten Rutsch, ich mache jetzt das letzte Mal Feierabend für dieses Jahr;)
VG
qnd

[jojo]

Hallo,

wie Renée bereits geschrieben hat, ist eine Deaktivierung der Firmentickets generell möglich. Daher gibt es da keine Sicherheitsbedenken. Wenn ein Admin hier etwas konfiguriert ohne zu verstehen wie OTRS funktioniert und was er damit anrichtet ist es sicher keine Schuld der Software.

Um bestimmten Menschen die Einsicht in Tickets zu gewähren gibt es kommerzielle Zusatzmodule, aber die Funktionalität ist nicht in der ((OTRS Community Edition)) enthalten.

Ansonsten steht es jedem wie gesagt frei eigene Module zu entwickeln oder einen Pullrequest zu machen.