<div dir="ltr">Capacha can be made better and Google are improving it with their I'm a Robot.  This uses browseing history etc to work out if the caller is a human or not.  On Church machines, there may not be enough history for this to work.<div><br></div><div>The one time pin seems interesting but could we do in simpler by doing all steps at the same time?  This way we can may the shared key a one time key.</div><div><br></div><div>Call openlp for a key and cache the key against the IP address for 1 min.</div><div>Client uses the return to generates the real token and resubmits it with the form.</div><div>OPenLP checks the token against the IP and if they match passes the request through.</div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 10 November 2017 at 23:15, Philip Ridout <span dir="ltr"><<a href="mailto:phill.ridout@gmail.com" target="_blank">phill.ridout@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">So today we have had a little discussion on IRC about changing the bug report code to submit directly to our support ticket system osTicket (<a href="http://osticket.com/" target="_blank">http://osticket.com/</a>).<div><br></div><div>Currently our system is a bit clunky in that when the user submits a bug report, their email application is opened to send email the report. This has some limitations, such as if the user uses web mail, or as I discovered earlier that Outlook does not add attachments.</div><div><br></div><div>Fortunately osTicket has an api we can use to create new tickets. However, osTicket requires a api key which is assigned to a specific ip address. So the idea so far is to have a flask script which can act as a kinda proxy, but the issue is how can we secure this against abuse?</div><div><br></div><div>Superflys suggestion was for the FTW to contact the server and get a shared key. Then when the exception form wants to submit to the proxy app, OpenLP generates an OTP (One Time Pin) and sends that as one of the headers. Kind of like time based two factor authentication.</div><div><br></div><div>My suggestion was for a capacha, but as superfly correctly stated its not very user friendly. Its also another thing to get in the way of a user submitting a bug report.</div><div><br></div><div>Do you guys have any alternative suggestions, or comments on the two above?</div><div><br></div><div>Regards,</div><div>Philip Ridout</div><div><br></div></div>
<br>______________________________<wbr>_________________<br>
openlp-dev mailing list<br>
<a href="mailto:openlp-dev@openlp.io">openlp-dev@openlp.io</a><br>
<a href="https://lists.openlp.io/mailman/listinfo/openlp-dev" rel="noreferrer" target="_blank">https://lists.openlp.io/<wbr>mailman/listinfo/openlp-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">Tim and Alison Bentley<br>Home@TRARBentley.net<div style="display:inline"></div></div>
</div>