Hallo,
da es in diesem inzwischen 8 Seiten langen Thread zunehmend unübersichtlich wird, will ich jetzt mal versuchen, ein wenig Ordnung in das bisher zusammengetragene zu bringen.
================================
Grundsätzlich gibt es 2 Varianten:
- externes Script (setup.php - Gert)
- kein externes Script (Holgers Vorschlag)
================================
Beide Varianten kann man:
1. sicher gestalten
- Erzeugung einer Datei (configSetup.php), die zu config.php umbenannt werden muss (Gert)
- Bereitstellung einer Datei als Download, die hochgeladen werden muss (Holger)
In beiden Fällen ist eine abschliessende Aktion per ftp notwendig.
2. komfortabel gestalten
Dabei gibt es eine zeitliche Lücke, in der CMSimple angreifbar ist, von wenigen Sekunden (bei sofortiger Passwortvergabe) bis zu 5 min (wenn man nach dem Upload nichts tut). Die 5 min sind natürlich nur ein Beispiel.
Im Idealfall ändert sich in den ersten 5 min gar nichts für den User: Einloggen mit "test" und Passwort ändern.
Anmerkung:
Da ein Angriff in den ersten Minuten nach dem Upload äusserst unwahrscheilich ist, wäre die komfortable Variante durchaus akzeptabel. Alles ist besser als der derzeitige Zustand.
================================
Die 5 min kann man festmachen:
- an einer Dummy Datei, die nach 5 min bei der nächsten Aktion automatisch gelöscht wird (Gert)
- an einer vorhandenen Datei (Holger)
Anmerkung:
Wenn man eine vorhandene Datei überschreibt, wird fil
ctime() NICHT geändert. Man muss also diese Datei zuerst löschen und danach erneut hochladen, um das Login mit "test" wieder freizugeben. Das kann zu Verwirrung und in der Folge zu unnötigen Supportanfragen führen. Deshalb favorisiere ich eine Dummy Datei, die spätestens nach 5 min bei der nächsten Aktion automatisch gelöscht wird.
================================
Aus diesen grundsätzlichen Möglichkeiten ergeben sich viele mögliche Kombinationen.
Nun müsst Ihr Euch einigen, was Ihr wie umsetzen wollt, und ich muss für mich entscheiden. Ich vermute mal, ich bin schneller
Vielen Dank für die interessante Diskussion,
Gert