Search found 3116 matches

by Gert
Wed May 27, 2020 6:10 am
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Wenn ich es richtig verstanden habe, erstellt das Setup von Gert eine Datei, die später per ftp umbenannt werden muss. Nein, das war die "sichere Variante", die wurde nie veröffentlicht, nur diskutiert. Die fandest Du ja nicht so doll, weil "nicht simple" ;) Die aktuell veröffentlichte Testversion ...
by Gert
Tue May 26, 2020 6:00 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Es scheint Wege zu geben, daran vorbei zu kommen. filectime() allerdings sollte tatsächlich immer funktionieren. Zumindest habe ich das so verstanden. Nach dem ftp-upload auf den Server sind bei mir file m time() und file c time() gleich, timestamp des uploads. Bei mir funktioniert file m time() lo...
by Gert
Tue May 26, 2020 5:11 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

setupControl.php wird bei mir leider nicht gelöscht, erst nach einem Reload der Seite (manuell per F5 oder eben per Submit-Button). Genau so funktioniert das ;) Es wird ja alles in der setup.php geregelt. Wenn Du also das setup abbrichst, und 5 min (+ 1s) nach hochladen der setupControl.php ruft ir...
by Gert
Tue May 26, 2020 12:36 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Nur, FTP und Timestamp ..., das muss nicht immer funktionieren. Jetzt lehne ich mich mal weit hinaus, weil ich das auch nicht im vollen Umfang durchdrungen habe, und auch keine Lust zu einer aufwändigen Recherche habe. <edit> gelöscht, neue Erkenntnisse siehe "PS:" unten ;) </edit> Wer meine Previe...
by Gert
Tue May 26, 2020 10:37 am
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Vergisst der User das Passwort sofort zu ändern (Unterbrechung durch Telefon usw.), dann können wir auch nix mehr tun. Für dieses Problem habe ich eine Lösung gefunden: Die setup.php prüft als erstes das Alter der setupControl.php. Ist die älter als 5 min, wird sie gelöscht und Setup ist inaktiv. <...
by Gert
Mon May 25, 2020 3:58 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

frase wrote:
Mon May 25, 2020 3:53 pm
Und deshalb dürfte ein Brainstorming darüber auch nicht schaden - oder?
Hab mich ja schon artig bedankt ;) :
Gert wrote:
Mon May 25, 2020 3:33 pm
Also: Vielen Dank für die Diskussion hier, ich warte mal ab ;)
by Gert
Mon May 25, 2020 3:46 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Problem dabei (wie bei allen anderen Vorschlägen auch): Es könnte in der Zwischenzeit, in der die "sys.lock" gelöscht wurde und noch kein neues Passwort erstellt ist, ein Angriff erfolgen. Vergisst der User das Passwort sofort zu ändern (Unterbrechung durch Telefon usw.), dann können wir auch nix m...
by Gert
Mon May 25, 2020 3:33 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

dann ist es vielleicht sehr sicher, aber irgendwie am Slogan "Simple" vorbei. Dann nenne ich das einach CMSafe ;) Als Software Entwickler ist man ja ein Getriebener. Da tragen irgendwelche Leute das System als "vulnerable" in irgendwelche Datenbanken ein. Der Laie findet es mit Google, versteht nix...
by Gert
Mon May 25, 2020 12:13 pm
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Vielleicht ist deine Lösung ja wirklich die einzig richtige? Die einzig richtige Lösung gibt es nicht. Es gibt nur ein paar Eckpunkte, an denen man nicht vorbeikommt, wenn es sicher sein soll. Defacto sicher ist CMSimple jetzt schon. Denn normalerweise wird sich jeder Anwender sofort nach dem Uploa...
by Gert
Mon May 25, 2020 10:48 am
Forum: Open Development
Topic: [VOTING] XH 1.6.10
Replies: 78
Views: 4999

Re: [VOTING] XH 1.6.10

Dann müsste wahrscheinlich eine Vorschaltseite erscheinen (ähnlich Gert) Nur zur Klarstellung: Wenn die Seite mit Passwort "test" hochgeladen wird, ist sie für Besucher voll zugänglich. Es kann sich aber niemand einloggen. Interessant und sicher für Admins, die grundsätzlich lokal arbeiten und die ...