authentication free access to notebooks #20
Comments
|
Ez egy trükkös kérdés… Van valami authentikációs lépés, amit esetleg kikapcsoltunk. A kliensnek kellene, hogy legyen egy cookie-ja is, ami különbözik az uid-tól. Mindent auth mögé tenni nehéz. Eleve a komponensek közötti authentikáció nehéz.
|
|
Azért ezzel majd valamit csinálni kell, mert tényleg veszélyes lehet, a COMPARE egyes tagjainak örökre elveheti a kedvét. Most próbáltam simán csak a novo2 jupyter-nél (nem kooplex) megnézni, hogy ott el lehet-e így érni, de nem megy (500 Internal Server Error, onco2 detto). A SciServer-en nem engedi elérni url alapján, ha ki vagyunk lépve. Ott biztos teljesen más a rendszer, de azért Laci alkalomadtán rákérdezhetnél. |
|
Nem lehet, hogy a novo/onco gépeken újabb jupyterhub van?
|
|
Sajna nem a jupyterhub verziója a gond. Arhitekturális tervezési hiba van. Gondolom, történetileg és kényelmileg egy nginx a hub elé van téve. Ez a komponens többet tesz, mint valójában tehetne. Minden, amit a hub szolgáltat az rendben authentikálva, authorizálva van [notebook/report készítés/menedzselés], DE a notebookok kiszolgálási útvonala nem folyik a hubon keresztül: az nginx még hamarabb áttolja a configurable-http-proxy-nak. Ez így nem jó, mert nem tudja a hub kierőszakolni a jogosultságot! A szolgáltatásokat a hub ALÁ kell szervezni, nem MELLÉ. A sandboxon a notebook/ redirektet kivettem az nginxből, és a hubba tettem át:
Összefoglalva. Ez egy fontos, súlyos hiba, ami felett eddig elsiklottunk, és orvosolni szeretnénk. De hosszabb időt vesz igénybe. A jövő héten én nem leszek, de utána jó lenne összedugni a fejünket, és megvitatni, hogy oldjuk meg ezt a problémát. |
|
A nagy szervereken ez elvileg megy, nem? Akkor csak fel kell csípni onnan az nginx konfigot.
|
|
Persze jogos… a kooplexben nincsen jupyterhub.
Nem tudom, hogy ez az URL-elhappolás mennyire súlyos probléma. Ha valakinek olyan memóriája van, hogy meg tud jegyezni egy guid-ot, akkor hajrá. Azt meg meg lehet mondani, hogy notebook URL-t senki se küldjön át másnak. Ha valaki belehallgat a hálózatba, akkor mindegy, hogy mi van a sütikben, mert azt is látja. Persze attól még én is támogatom, hogy legyen egy fokkal biztonságosabb, viszont akkor tényleg át kell valahogy préselni a sütiket a hubon.
|
|
Nem tudom, hogy ez az URL-elhappolás mennyire súlyos probléma. Ha valakinek olyan memóriája van, hogy meg tud jegyezni egy guid-ot, akkor hajrá.
Skype screensharinggel eleg konnyu (screenshot), es azert nem csak olyanoknak szoktak emberek screent sharelni akiben vakon megbiznak.
Meg mivel az bongeszoknek igen jo memoriaja van, ezert ez sajnos azt jelenti, hogy nem teljesen sajat gepen csak ugy lehetne hasznalni a rendszert, ha privat bongeszesben hasznalod csak. Szerintem ez mar egy kicsit tul sok egy normalis felhasznalonak, hogy ezt is eszben tartsa.
Peldaul Pisti mar sokszor mutogatott az 5.128-as szobaban kooplexes jupyterhubos dolgokat az ottani gepen, igy barki, aki bemegy es megnezi a bongeszo historyt, vigan belephet Pisti jupyterjebe nem? Ez azert baj, ha igy van.
Dezso
… Azt meg meg lehet mondani, hogy notebook URL-t senki se küldjön át másnak. Ha valaki belehallgat a hálózatba, akkor mindegy, hogy mi van a sütikben, mert azt is látja. Persze attól még én is támogatom, hogy legyen egy fokkal biztonságosabb, viszont akkor tényleg át kell valahogy préselni a sütiket a hubon.
From: József Stéger ***@***.***
Sent: Friday, July 7, 2017 5:46 AM
To: kooplex/kooplex-hub ***@***.***>
Cc: László Dobos ***@***.***>; Comment ***@***.***>
Subject: Re: [kooplex/kooplex-hub] authentication free access to notebooks (#20)
Sajna nem a jupyterhub verziója a gond. Arhitekturális tervezési hiba van.
Gondolom, történetileg és kényelmileg egy nginx a hub elé van téve. Ez a komponens többet tesz, mint valójában tehetne.
Minden, amit a hub szolgáltat az rendben authentikálva, authorizálva van [notebook/report készítés/menedzselés], DE a notebookok kiszolgálási útvonala nem folyik a hubon keresztül: az nginx még hamarabb áttolja a configurable-http-proxy-nak.
Ez így nem jó, mert nem tudja a hub kierőszakolni a jogosultságot! A szolgáltatásokat a hub ALÁ kell szervezni, nem MELLÉ.
A sandboxon a notebook/ redirektet kivettem az nginxből, és a hubba tettem át:
* így ha elhappolják az urlt, a hub elirányít a login oldalra.
* de a gyors fércelés mellett nem teljesen kerek a dolog ha azonosítva vagy sem,
1. egy csomó statikus kontent nem megy át (css, javaszkriptek), így praktikusan használhatatlan amit a böngészőben látsz.
2. a konténerek ki/bekapcsolása most megsínyli, hogy az nginxből ki lett véve az átirányítás.
Összefoglalva. Ez egy fontos, súlyos hiba, ami felett eddig elsiklottunk, és orvosolni szeretnénk. De hosszabb időt vesz igénybe. A jövő héten én nem leszek, de utána jó lenne összedugni a fejünket, és megvitatni, hogy oldjuk meg ezt a problémát.
—
You are receiving this because you commented.
Reply to this email directly, view it on GitHub <#20 (comment)> , or mute the thread <https://github.com/notifications/unsubscribe-auth/AE5td-ag6ts9dGsxw0uJ3qQMHiW2n4Siks5sLf5RgaJpZM4OPP9J> . <https://github.com/notifications/beacon/AE5td7ppx_ZCPboVrG5u1wb67-59eyLTks5sLf5RgaJpZM4OPP9J.gif>
—
You are receiving this because you authored the thread.
Reply to this email directly, view it on GitHub <#20 (comment)>, or mute the thread <https://github.com/notifications/unsubscribe-auth/AFtCBDQ_xPEkQ5Luc-CzxurXO4-DiGTnks5sLkKpgaJpZM4OPP9J>.
|
|
Ha a cookie-t megjegyzi a böngésző, akkor ugyanaz a helyzet. Szóval azt is biztosítani kell, hogy a cookie rövid távol lejárjon, vagy explicit sign out-ra dobja a böngésző.
|
|
Ha a cookie-t megjegyzi a böngésző, akkor ugyanaz a helyzet. Szóval azt is biztosítani kell, hogy a cookie rövid távol lejárjon, vagy explicit sign out-ra dobja a böngésző.
Nem ertek nyilvan a dologhoz, de erre biztosan van egy sztenderd megoldas, ami logouton megoldja ezt. Hiszen minden weblap igy mukodik.
…
From: Dezso Ribli ***@***.***
Sent: Friday, July 7, 2017 10:50 AM
To: kooplex/kooplex-hub ***@***.***>
Cc: László Dobos ***@***.***>; Comment ***@***.***>
Subject: Re: [kooplex/kooplex-hub] authentication free access to notebooks (#20)
> Nem tudom, hogy ez az URL-elhappolás mennyire súlyos probléma. Ha valakinek olyan memóriája van, hogy meg tud jegyezni egy guid-ot, akkor hajrá.
Skype screensharinggel eleg konnyu (screenshot), es azert nem csak olyanoknak szoktak emberek screent sharelni akiben vakon megbiznak.
Meg mivel az bongeszoknek igen jo memoriaja van, ezert ez sajnos azt jelenti, hogy nem teljesen sajat gepen csak ugy lehetne hasznalni a rendszert, ha privat bongeszesben hasznalod csak. Szerintem ez mar egy kicsit tul sok egy normalis felhasznalonak, hogy ezt is eszben tartsa.
Peldaul Pisti mar sokszor mutogatott az 5.128-as szobaban kooplexes jupyterhubos dolgokat az ottani gepen, igy barki, aki bemegy es megnezi a bongeszo historyt, vigan belephet Pisti jupyterjebe nem? Ez azert baj, ha igy van.
Dezso
> Azt meg meg lehet mondani, hogy notebook URL-t senki se küldjön át másnak. Ha valaki belehallgat a hálózatba, akkor mindegy, hogy mi van a sütikben, mert azt is látja. Persze attól még én is támogatom, hogy legyen egy fokkal biztonságosabb, viszont akkor tényleg át kell valahogy préselni a sütiket a hubon.
>
>
>
> From: József Stéger ***@***.***
> Sent: Friday, July 7, 2017 5:46 AM
> To: kooplex/kooplex-hub ***@***.*** ***@***.***> >
> Cc: László Dobos ***@***.*** ***@***.***> >; Comment ***@***.*** ***@***.***> >
> Subject: Re: [kooplex/kooplex-hub] authentication free access to notebooks (#20)
>
>
>
> Sajna nem a jupyterhub verziója a gond. Arhitekturális tervezési hiba van.
>
> Gondolom, történetileg és kényelmileg egy nginx a hub elé van téve. Ez a komponens többet tesz, mint valójában tehetne.
>
> Minden, amit a hub szolgáltat az rendben authentikálva, authorizálva van [notebook/report készítés/menedzselés], DE a notebookok kiszolgálási útvonala nem folyik a hubon keresztül: az nginx még hamarabb áttolja a configurable-http-proxy-nak.
>
> Ez így nem jó, mert nem tudja a hub kierőszakolni a jogosultságot! A szolgáltatásokat a hub ALÁ kell szervezni, nem MELLÉ.
>
> A sandboxon a notebook/ redirektet kivettem az nginxből, és a hubba tettem át:
>
> * így ha elhappolják az urlt, a hub elirányít a login oldalra.
> * de a gyors fércelés mellett nem teljesen kerek a dolog ha azonosítva vagy sem,
>
> 1. egy csomó statikus kontent nem megy át (css, javaszkriptek), így praktikusan használhatatlan amit a böngészőben látsz.
> 2. a konténerek ki/bekapcsolása most megsínyli, hogy az nginxből ki lett véve az átirányítás.
>
> Összefoglalva. Ez egy fontos, súlyos hiba, ami felett eddig elsiklottunk, és orvosolni szeretnénk. De hosszabb időt vesz igénybe. A jövő héten én nem leszek, de utána jó lenne összedugni a fejünket, és megvitatni, hogy oldjuk meg ezt a problémát.
>
> —
> You are receiving this because you commented.
> Reply to this email directly, view it on GitHub <#20 (comment)> , or mute the thread <https://github.com/notifications/unsubscribe-auth/AE5td-ag6ts9dGsxw0uJ3qQMHiW2n4Siks5sLf5RgaJpZM4OPP9J> . <https://github.com/notifications/beacon/AE5td7ppx_ZCPboVrG5u1wb67-59eyLTks5sLf5RgaJpZM4OPP9J.gif>
>
> —
> You are receiving this because you authored the thread.
> Reply to this email directly, view it on GitHub <#20 (comment)>, or mute the thread <https://github.com/notifications/unsubscribe-auth/AFtCBDQ_xPEkQ5Luc-CzxurXO4-DiGTnks5sLkKpgaJpZM4OPP9J>.
>
—
You are receiving this because you commented.
Reply to this email directly, view it on GitHub <#20 (comment)> , or mute the thread <https://github.com/notifications/unsubscribe-auth/AE5tdyH6YOz7wQ4j4HqZzXSXECQKXkSFks5sLkV_gaJpZM4OPP9J> . <https://github.com/notifications/beacon/AE5td0cAPO2CqmLKplkqa7kj83_VH953ks5sLkV_gaJpZM4OPP9J.gif>
—
You are receiving this because you authored the thread.
Reply to this email directly, view it on GitHub <#20 (comment)>, or mute the thread <https://github.com/notifications/unsubscribe-auth/AFtCBCEuDNuSvKqDv7py0cv-uxXHdU9Xks5sLkbngaJpZM4OPP9J>.
|
|
Lásd pédául a demo videonk: https://drive.google.com/file/d/0BzZHL1nAOkoQMkhuRWNTVDdOYWM/view?ts=58b58e1a |
|
Itt írnak arról, hogy hogyan megy ez Django-ban, de valahogy úgy kellene összedrótozni, hogy ugyanazt a tokent a jupyet-singleuser is elfogadja. Ha az nem megy, akkor muszáj, hogy a hub proxy-zza a kéréseket, de az meg a websocket miatt nem less egyszerű. |
|
Dáviddal simogattuk a dolgot, most elvileg nem happolható el az URL, ha mégis, akkor kér egy token-t. A mostani megoldás egy tokent használ, így, ha egyszer egy böngészőben megnyitottál egy notebookot, akkor ugyanezzel a böngészővel a többi felhasználó notebookja elérhető, ha kitalálod az azonosítójukat. (ha a sütiket törlöd, visszaáll az eredeti állapot, nem érsz el semmit alapból) Ezen még finomítunk, de első körben biztonságosabb lett a rendszer. Kérlek, teszteljétek ennek fényében. |
|
Zárható ez az issue? |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Az nem baj, hogy jelszo nelkul be lehet lepni a notebookhoz ha valaki ismeri az url-t?
pl: https://kooplex.vo.elte.hu/notebook/dribli/[valami uid]/notebooks/git/Untitled.ipynb
Ha peldaul Laci demozza epp a feluletet a compare eves meetingen, akkor valaki lemasolhatja az url-t es akkor jelszo nelkul belephet es elkezdhet bitcoint vagy ethereumot banyaszni ha unalmas az eloadas. (Skype megosztasnal ugyanigy bajos lehet.)
Valoszinuleg jo lenne mindent auth moge tenni, nem?
The text was updated successfully, but these errors were encountered: