Guten Tag,
wir planen die Profilbild Funktion intensiv zu nutzen. Meine bisherigen Erkenntnisse dazu:
- Man kann in campai ein hochauflösendes Bild hochladen, hat aber danach nur die kleine Mini-Ansicht. Einen Vergrößerungsbutton gibt es nicht. Klickt man auf das Bild, kann man nur erneut ein neues Bild hochladen. Auch wenn man in campai nur die Mini-Ansicht hat, scheint das Bild trotzdem im Hintergrund hochauflösend gespeichert zu werden (hab noch keine Grenze gefunden bisher)
- Das Bild ist unabhängig von einem vom Mitglied hochgeladenem Bild im Vereinsportal / -app
- Über die API komme ich an die URL des Bilds und kann diese dann frei ohne jegliche Authentisierung aufrufen. In der URL steckt die Org-ID, die campai-ID des Mitglieds und nochmal ein gewürfelter Dateiname. Das alles ist schwer erratbar, dennoch sehe ich das aus Security Sicht nicht ganz sauber. Hier sollte campai nachbessern!
Nutzt noch jemand anderes die Profilbild Funktion und kann weitere Erkenntnisse oder Erfahrungswerte beitragen?
Wenn das jemand von campai liest: Was sagt ihr zur fehlenden Vergrößerungsfunktion und zum Security Issue?
Hallo!
bei Punkt 1 bessern wir im kommenden Jahr nach.
Punkt 2: Bilder von der App werden in der Verwaltung übernommen. Umgekehrt nicht. Damit gewährleistet ist, dass die Mitglieder die Souveränität über ihr Bild in der App haben.
Punkt 3: Das sind geschützte URLs auf die du nur Zugriff haben solltest, wenn du angemeldet bist. Versuch mal, ob sie in einem Privaten Tab funktionieren, in dem du nicht angemeldet bist.
lg
Oliver
Hi Oliver,
danke schonmal fürs Feedback:
1) Okay, ist für uns gerade nicht so wichtig. Wir holen uns das hoch auflösende Bild für die eigene App und zeigen es da größer an. Vergößerung wäre halt nett für unsere Geschäftsstelle, aber eilt nicht.
2) Heisst das, wenn die Verwaltung kein Bild hat, aber ein Mitglied in dem Vereinsportal ein Bild hochladen, dieses dann auch in der Verwaltung sichtbar ist? Ich kann dann aber in der Verwaltung ein neues/anderes Bild hochladen, was das Mitglied nicht überschreiben kann (in der Verwaltung meine ich)? Das ist wichtig, weil wir natürlich nicht wollen, dass die Mitglieder irgendein Quatsch-Bild hochladen, was bei uns für den Studio-Checkin dann wertlos wäre.
3) Hier der Beweis mit curl - keinerlei Authentisierungs-Header / Keys, ich komme trotzdem ans Bild (aus Sicherheitsgründen habe ich Bestandteile in der URL natürlich ersetzt):
curl -v https://api.campai.com/storage/download/organisation/DIEORGID/contact/MEMBERCAMPAIID/DATEINAME.jpg
...
> GET /storage/download/organisation/DIEORGID/contact/MEMBERCAMPAIID/DATEINAME.jpg HTTP/2
> Host: api.campai.com
> User-Agent: curl/8.6.0
> Accept: */*>
< HTTP/2 200
< date: Tue, 02 Jul 2024 10:34:32 GMT
< content-type: image/jpeg
< content-length: 159833
...Hallo Tim,
hab jetzt bzgl. Punkt 3 nochmal nachgefragt. Wir werden die Bilder in Zukunft beim überarbeiten des Moduls absichern. Aktuell sehen wir aber trotzdem kein großes Problem, da es leichter wahrscheinlich leichter wäre einen campai-account zu brute forcen als die Url zu einem Foto.
Zu punkt 2: wenn in der Verwaltung kein Bild hinterlegt ist, wird, dass vom Mitglied in der App selbst hochgeladene genommen. Ansonsten das in der Verwaltung hochgeladene. Umgekehrt wird es, wie gesagt, nicht übernommen.
Hi Oliver. Danke!
Zu Punkt 3: Ich sehe das auch nicht als hochkritisch - und es ist für unsere App von Vorteil. Ist halt nur nicht State-Of-the-Art security-technisch. Schön, dass es eingeplant ist.
Und Danke für die nochmalige Aufklärung zu Punkt 2.