[VOTING] XH 1.6.10

Discussions and requests related to new CMSimple features, plugins, templates etc. and how to develop.
Please don't ask for support at this forums!
frase
Posts: 5085
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: [VOTING] XH 1.6.10

Post by frase » Thu May 28, 2020 10:37 am

Holger wrote:
Thu May 28, 2020 10:26 am
... genügt es nicht, wenn man wirklich einen leeren PW-Eintrag ausliefert und das System beim ersten Aufruf dann nur den PW-Dialog anbietet?...
Dann könnten wir auch alles lassen, wie es ist.
Die Ursprungs-Überlegung war, dass es zu viele Installationen im Netz gibt, bei denen man sich mit "test" einloggen kann.
Ob aus Versehen oder Unwissenheit - egal.

Aber, vielleicht meinst du ja, dass die Site so lange überhaupt nicht sichtbar/zugänglich ist (bis auf den PW-Dialog)?
Hm, das wäre auch eine Möglichkeit. Das wäre dann "echter Zwang" - was bei Sicherheitsfragen akzeptabel wäre.
Und wenn es denn ginge, dass das am localhost nicht passiert - umso besser ;-)

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: [VOTING] XH 1.6.10

Post by Gert » Thu May 28, 2020 10:55 am

Holger wrote:
Thu May 28, 2020 10:26 am
... und das System beim ersten Aufruf dann nur den PW-Dialog anbietet?
frase wrote:
Thu May 28, 2020 10:37 am
Aber, vielleicht meinst du ja, dass die Site so lange überhaupt nicht sichtbar/zugänglich ist (bis auf den PW-Dialog)? Hm, das wäre auch eine Möglichkeit.
Das war der ursprüngliche Vorschlag des Studenten aus Estland, der das ganze bei mir wieder auf die Liste gesetzt hat. Aber da kann dann auch beim Upload das Telefon klingeln, und der Admin muss ganz schnell weg.

Wenn dann aber irgendjemand zufällig den URL aufruft, dann muss er nicht einmal mehr nachgucken, ob das Passwort "test" ist ;)

Wie auch immer man es dreht: Eine sichere Variante ist eine von Setup erstellte Kopie der config.php (z. B. configSetup.php), in der das Passwort geändert wird und die dann per ftp in config.php umbenannt werden muss, nachdem man die alte config.php gelöscht hat.

Wenn es die configSetup.php schon gibt (weil jemand anders schneller war), bricht Setup ab und fordert den Admin auf, diese per ftp zu löschen, und das kann ein Angreifer nicht.

Aber das wegen einer Sekunden-Sicherheitslücke? Das hochladen der setupControl.php dauert nur wenige Sekunden, die Wahrscheinlichkeit, dass dann gerade das Telefon klingelt, ist wesentlich geringer als beim Upload von CMSimple ;)
Gert Ebersbach | CMSimple | Templates - Plugins - Services

Holger
Site Admin
Posts: 3470
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 10:57 am

frase wrote:
Thu May 28, 2020 10:37 am
Aber, vielleicht meinst du ja, dass die Site so lange überhaupt nicht sichtbar/zugänglich ist (bis auf den PW-Dialog)?
Genau das meine ich :!:

Tata
Posts: 3586
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: [VOTING] XH 1.6.10

Post by Tata » Thu May 28, 2020 11:05 am

Wie wäre es möglich:
1. Am Localhost optional mit/ohne Passwort einloggen.
2. Am Host NUR mit einem Passwort, wobei ein Passwort der voreingestellten Maske entsprechen muß, sonst kein Login möglich. In solchem Fall müsste dann die "passwort.php" (oder so was) per FTP hochgeladen werden.
D.h., daß auch wenn die Seite mit z.B.

Code: Select all

$cf['security']['login'] = "1";
$cf['security']['password'] = "test";
(etwa)
$cf['security']['password_mask'] = "(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{8,}";
hochgeladen würde, aber kein Passwort der Maske entspricht, niemand einloggen kann.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

Holger
Site Admin
Posts: 3470
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 11:16 am

Gert wrote:
Thu May 28, 2020 10:55 am
Wenn dann aber irgendjemand zufällig den URL aufruft, dann muss er nicht einmal mehr nachgucken, ob das Passwort "test" ist
Dann halt mit voreingestelltem "test", und beim ersten Login eine Zwangsroutine zur PW-Änderung.
Eine Routine mit FTP, wenn auch unbestritten wohl ein sicherer Weg, würde ich mir sparen.

Holger
Site Admin
Posts: 3470
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 11:37 am

Holger wrote:
Thu May 28, 2020 11:16 am
Gert wrote:
Thu May 28, 2020 10:55 am
Wenn dann aber irgendjemand zufällig den URL aufruft, dann muss er nicht einmal mehr nachgucken, ob das Passwort "test" ist
Dann halt mit voreingestelltem "test", und beim ersten Login eine Zwangsroutine zur PW-Änderung.
Eine Routine mit FTP, wenn auch unbestritten wohl ein sicherer Weg, würde ich mir sparen.
BTW: die fünf Minuten könnte man auch einfach am Alter der config.php festmachen. Ist die Datei älter als 5 Minuten und das Passwort ist "test" -> kein Login mehr möglich -> Config.php muss neu hochgeladen werden.

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: [VOTING] XH 1.6.10

Post by Gert » Thu May 28, 2020 11:44 am

Holger wrote:
Thu May 28, 2020 11:16 am
Eine Routine mit FTP, wenn auch unbestritten wohl ein sicherer Weg, würde ich mir sparen.
Zu diesem Ergebnis waren wir ja nach 5 Seiten Diskussion bereits gekommen ;)

Bei meiner Version kann man sich nach dem Upload nicht einloggen. Wenn ein unachtsamer Admin das Setup nicht zu Ende führt, ist die Installation spätestens nach 5 min wieder für Login geschlossen, und Setup muss erneut durch hochladen einer 0byte Datei aktiviert werden. Bei meinen Tests hatte ich das Gefühl, dass 3 min auch vollkommen ausreichen würde.

Nebenbei ist das "Passwort vergessen" Problem gleich mit erschlagen, jedenfalls für den Admin mit ftp Zugang.

Ich glaube, dabei werde ich es lassen.

Holger wrote:
Thu May 28, 2020 11:37 am
BTW: die fünf Minuten könnte man auch einfach am Alter der config.php festmachen. Ist die Datei älter als 5 Minuten und das Passwort ist "test" -> kein Login mehr möglich -> Config.php muss neu hochgeladen werden.
Ja, es gibt viele Möglichkeiten.
Gert Ebersbach | CMSimple | Templates - Plugins - Services

Holger
Site Admin
Posts: 3470
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 12:05 pm

Gert wrote:
Thu May 28, 2020 11:44 am
Zu diesem Ergebnis waren wir ja nach 5 Seiten Diskussion bereits gekommen
Ja, sorry. Vielleicht sollte ich erstmal den ganzen Thread lesen, bevor ich mich einmische :roll: ...
... hab' ich jetzt aber gemacht :) ...

Mein Favorit:
- das CMS kommt ohne PW (bzw. ohne vollständige config.php)
- beim ersten Login wir ein Passwort abgefragt und eine entsprechende config.php erstellt
- die Datei wird an den User gesendet der sie mittels FTP auf den Server kopieren muss um die Installation freizuschalten

Da gibt es nicht eine (zeitkritische) Lücke, die von einem bösartigen Besucher genutzt werden könnte.

Das ist eigentlich die Version mit dem Vorschlag auf Seite 1.
Für die lokale (Entwicklungs-) Umgebung kann man ja einen Hash in die config.php kopieren.

Und wem die Nutzung der existentiellen config.php zu kompliziert erscheint: warum den Hash nicht in einer neuen Datei, direkt im Hauptordner der Installation, ablegen? Das wäre vielleicht auch einfacher zu erklären: vorhandene (leere) Datei "pwhash.php" im Hauptordner überschreiben.
Gert wrote:
Thu May 28, 2020 11:44 am
Nebenbei ist das "Passwort vergessen" Problem gleich mit erschlagen, jedenfalls für den Admin mit ftp Zugang.
Wäre dann auch so. Datei löschen (oder leeren), neues PW kann generiert werden (oder halt auf den Link "Passwort vergessen klicken :lol: ).

Gert
Posts: 3078
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: [VOTING] XH 1.6.10

Post by Gert » Thu May 28, 2020 12:15 pm

Holger wrote:
Thu May 28, 2020 12:05 pm
Mein Favorit:
- das CMS kommt ohne PW (bzw. ohne vollständige config.php)
- beim ersten Login wir ein Passwort abgefragt und eine entsprechende config.php erstellt
- die Datei wird an den User gesendet der sie mittels FTP auf den Server kopieren muss um die Installation freizuschalten
Auf welchem Weg soll die Datei gesendet werden?

Und was ist da jetzt sooo anders, als wenn eine Datei configSetup.php erstellt und dann umbenannt werden muss in config.php?
Holger wrote:
Thu May 28, 2020 11:16 am
Eine Routine mit FTP, wenn auch unbestritten wohl ein sicherer Weg, würde ich mir sparen.
Das war vor ca. 1h ;)
Gert Ebersbach | CMSimple | Templates - Plugins - Services

Holger
Site Admin
Posts: 3470
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 12:30 pm

Gert wrote:
Thu May 28, 2020 12:15 pm
Das war vor ca. 1h
Ich bin ja doch lernfähig :lol: .
(Wobei für mich die "ohne FTP" - Lösung nach wie vor okay und und eine Verbesserung wäre).
Gert wrote:
Thu May 28, 2020 12:15 pm
Und was ist da jetzt sooo anders, als wenn eine Datei configSetup.php erstellt und dann umbenannt werden muss in config.php?
An der Technik in der Tat nicht viel. Aber wenn ich es jetzt richtig verstanden habe (verbessere mich, wenn ich es immer noch nicht kapiert habe), hast Du ja ein Zeitfenster, während dem ein anderer User Unfug machen könnte. Mit obigem Vorschlag könnte auch dies noch umgangen werden.

[Edit] Sorry, vergessen:
Auf welchem Weg soll die Datei gesendet werden?
Einfach als Download.
[/Edit]

Post Reply