Kein Zugriff auf Admin-Bereich

Questions about how to install and problems installing - please read the documentation first!
meltemi
Posts: 177
Joined: Sat Feb 22, 2014 10:11 pm
Location: Franken (Deutschland)
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by meltemi » Sat Sep 02, 2017 11:50 pm

Limanier wrote:So, nach einem Hinweis eines Lima-City-Nutzers habe ich mal ...
In Deinem Verzeichnis /cmsimple/ liegt eine Datei, die da nicht hingehört.

Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by cmb » Sun Sep 03, 2017 8:34 am

Limanier wrote:Und Filezilla – darin habe ich kein Vertrauen. Soll (laut Wikipedia) malwareversäucht sein – […]
Würde mich wundern. Ich habe allerdings wenig Vertreuen in die deutsche Wikipedia. Zumindest der Artikel über CMSimple enthält einige sehr fragliche Inhalte, aber eingereichte Korrekturen wurden abgelehnt.
Limanier wrote:Wie meinst du das, dass alles über index.php läuft? Ich hielt das bis jetzt für die Startseite, die Besucher aufrufen und im Verzeichnis /cmsimple befindet sich die Benutzeroberfläche für die Admins.
Nein, bei CMSimple(_XH) läuft normalerweise alles über die index.php, die direkt cmsimple/cms.php lädt, die wiederum als eine Art Front-Controller fungiert, und je nach Query-String der URL entsprechend das HTML-Dokument generiert.
meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Ah, danke! Nun konnte ich mir auch die Startseite ansehen, und das sieht so aus, als ob /plugins/index.php statt /index.php hoch geladen wurde. (Und ja, plugins/index.php sollte entweder verschwinden, oder einen 404 auslösen.)
Christoph M. Becker – Plugins for CMSimple_XH

Limanier
Posts: 13
Joined: Wed Aug 30, 2017 9:47 pm

Re: Kein Zugriff auf Admin-Bereich

Post by Limanier » Mon Sep 04, 2017 3:42 pm

meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Nein, hätte ich nicht, weil ich praktisch keine Ahnung habe, welche Dateien wo sein müssen und was darin zu sein hat. Soll ich diese jetzt einfach löschen?
cmb wrote:
Limanier wrote:Wie meinst du das, dass alles über index.php läuft? Ich hielt das bis jetzt für die Startseite, die Besucher aufrufen und im Verzeichnis /cmsimple befindet sich die Benutzeroberfläche für die Admins.
Nein, bei CMSimple(_XH) läuft normalerweise alles über die index.php, die direkt cmsimple/cms.php lädt, die wiederum als eine Art Front-Controller fungiert, und je nach Query-String der URL entsprechend das HTML-Dokument generiert.
Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?
cmb wrote: Ah, danke! Nun konnte ich mir auch die Startseite ansehen, und das sieht so aus, als ob /plugins/index.php statt /index.php hoch geladen wurde. (Und ja, plugins/index.php sollte entweder verschwinden, oder einen 404 auslösen.)
In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen? Drinstehen tut übr. Folgendes:

Code: Select all

<?php

die('access denied');

?>

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by cmb » Mon Sep 04, 2017 3:53 pm

Limanier wrote:
meltemi wrote:Deine XHdebug.txt zeigt 6 an. Hättest Du selbst mitteilen können.
Nein, hätte ich nicht, weil ich praktisch keine Ahnung habe, welche Dateien wo sein müssen und was darin zu sein hat. Soll ich diese jetzt einfach löschen?
Nein, die Datei kannst du ruhig dort belassen. Sie dient als einfache Möglichkeit, den Debug-Modus zu aktivieren (indem man sie in _XHdebug.txt umbenennt), falls das nötig werden sollte.
Limanier wrote:Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?
Wer sich etwas auskennt, kann schon recht leicht erkennen, ob es sich um eine CMSimple_XH-Installation handelt. Und ja, auch ein Besucher kann schnell zum Login-Bildschirm kommen. Das ist aber bei anderen CMSen auch nicht anders.
Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.
Christoph M. Becker – Plugins for CMSimple_XH

Limanier
Posts: 13
Joined: Wed Aug 30, 2017 9:47 pm

Re: Kein Zugriff auf Admin-Bereich

Post by Limanier » Mon Sep 04, 2017 5:08 pm

cmb wrote:
Limanier wrote:Bedeutet das dann, dass auch die Besucher sehen würden, welches CMS verwendet wird bzw. mit wenigen Klicks in den Admin-Bereich kommen würden, wenn es nicht passwortgeschützt wäre?
Wer sich etwas auskennt, kann schon recht leicht erkennen, ob es sich um eine CMSimple_XH-Installation handelt. Und ja, auch ein Besucher kann schnell zum Login-Bildschirm kommen. Das ist aber bei anderen CMSen auch nicht anders.
Aber eigentlich sollte doch die Weboberfläche für den Besucher selbst vom Admin-Bereich „abgeschirmt“ sein, sodass ihm nur das Ergebnis präsentiert wird. Das irgendwelche Insider geheime Methoden kennen, das CMS zu ermitteln, mag ja noch normal sein, aber direkt auf der Seite ein Link, sodass das jedem Besucher gleich vor die Nase gesetzt wird, finde ich, naja, etwas unprofessionell. Ich kenne eigentlich auch keine Seite, bei der es so praktiziert wird.
cmb wrote:
Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.
Ja, wurde mir gerade schon gesagt, dass da was nicht richtig ist. Aber wie kann das sein? Ich meine, ich habe doch nur die Original-Dateien von der CMSimple_XH-Website gedownloadet.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by cmb » Mon Sep 04, 2017 6:16 pm

Limanier wrote:Aber eigentlich sollte doch die Weboberfläche für den Besucher selbst vom Admin-Bereich „abgeschirmt“ sein, sodass ihm nur das Ergebnis präsentiert wird. Das irgendwelche Insider geheime Methoden kennen, das CMS zu ermitteln, mag ja noch normal sein, aber direkt auf der Seite ein Link, sodass das jedem Besucher gleich vor die Nase gesetzt wird, finde ich, naja, etwas unprofessionell. Ich kenne eigentlich auch keine Seite, bei der es so praktiziert wird.
Der Link kann ja im Template leicht entfernt werden (suche loginlink()), wenn man nicht ohnehin ein Template verwendet, das diesen Link nicht enthält. Und ansonsten ist es doch egal, ob man http://example.com/admin/ oder http://example.com/?login aufruft.
Limanier wrote:Ja, wurde mir gerade schon gesagt, dass da was nicht richtig ist. Aber wie kann das sein? Ich meine, ich habe doch nur die Original-Dateien von der CMSimple_XH-Website gedownloadet.
Wenn du selbst keine Dateien ausgetauscht hast, dann ist vielleicht beim FTP-Transfer (oder beim Entpacken?) etwas schief gelaufen.
Christoph M. Becker – Plugins for CMSimple_XH

frase
Posts: 5085
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by frase » Tue Sep 05, 2017 1:38 am

Vielleicht Visual Studio?

lck
Posts: 2963
Joined: Wed Mar 23, 2011 11:43 am
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by lck » Tue Sep 05, 2017 12:22 pm

cmb wrote:
Limanier wrote:In index.php und /plugins/index.php steht aber beides dasselbe. Soll ich die bei /plugins jetzt einfach löschen?
Und genau das ist das Problem, denn /index.php sollte so aussehen. /plugins/index.php würde ich lassen, da anscheinend bei Lima-City die Verzeichnisauflistung aktiviert ist. Ohne /plugins/index.php könnte man https://cmb69.lima-city.de/plugins/ aufrufen, und würde dann statt "access denied" eben alle installierten Plugins sehen.
Geht man über /2lang auf die Seite läuft es.
„Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig!“   👉 Ludwig's XH-Templates for MultiPage & OnePage

Limanier
Posts: 13
Joined: Wed Aug 30, 2017 9:47 pm

Re: Kein Zugriff auf Admin-Bereich

Post by Limanier » Tue Sep 05, 2017 6:13 pm

Okay, habe jetzt CMSimple_XH komplett neu herunter- und hochgeladen, diesmal per Windows-Explorer. Augenscheinlich ist dieses Problem damit behoben. Komme auf die Seite, kann mich auch einloggen. Ob das System jetzt auch für die speziellen Anforderungen unter Verwendung mehrerer Autoren geeignet ist, wird sich zeigen.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: Kein Zugriff auf Admin-Bereich

Post by cmb » Tue Sep 05, 2017 8:28 pm

Limanier wrote:Okay, habe jetzt CMSimple_XH komplett neu herunter- und hochgeladen, diesmal per Windows-Explorer.
Oh, das kannte ich noch gar nicht. :)
Limanier wrote:Ob das System jetzt auch für die speziellen Anforderungen unter Verwendung mehrerer Autoren geeignet ist, wird sich zeigen.
Für mehrere Autoren ist CMSimple_XH eher ungeeignet, auch wenn es ein paar Workarounds wie Keymaster_XH und Extedit_XH gibt.
Christoph M. Becker – Plugins for CMSimple_XH

Post Reply