General Community > Development 2.10.x
Admin-Dauerlogin
evaki:
Altes Thema neu aufgelegt (weil das mit den Loginprozeduren in der Testsoftware nicht immer reibungslos funktioniert)
Es wäre für umfassende Tests sinnvoll, ein Plugin für den dauerhaft eingeloggten Zustand (BE) zu besitzen. Bisherige Testergebnisse beziehen sich ausschließlich auf FE, aber nicht auf mögliche Fehler oder Angriffsmöglichkeit en innerhalb des BE. Auch die simpelsten HTML-Validierungen sind so nicht durchzuführen.
Für 'nen WB-Fork hatte ich so'n Teil mal. Es geht also. Warum nicht in WB?
Vor Jahren hatte ich mal 'ne Möglichkeit, weiß aber nicht wie realisiert. Das Ergebnis war damals - hab' im Moment keinen freundlichen Ausdruck dafür - was sich mittlerweile mit w3c und anderem gebessert haben könnte - man erfährt ja nix - is ja alles Meister Propper, Clementine, Clerasil, oder so...
Vertrauen, nur mal so reingeworfen, ist aber einer der schlechtesten Sicherheitsparamete r - ähm, "eigentlich gar keiner. Dummerweise wird genau das meist vollkommen ignoriert, also von denen, die sich ein CMS installieren. Es sind ja nicht nur die DAUS vor den Phones- und ClickiBunti-Bildschirmen.
MfG. Evaki
crnogorac081:
If i understand correctly you want someone to be able to be able to login as admin and test wb functionalities in backend ?
Gast:
what he want, is a solution to disable or overwrite the server session timeout, so that he stay in the backend for unlimited time. on my servers, i've no problems, to stay in the session (without actions!) for 24 hours, but other server kill the session after 15 min or two hours automatically.
for the normale job in the backend, it's only important, if you writer longer articles, there is no warning about the session end and maybe, you lost the whole work.
But Evaki work with tools to check the security of the backend and this job needs a long time
evaki:
--- Code: ---Fork: $module_description = 'This tool completely opens the admin account for security checks.';
--- End code ---
Bedeutet, es ist keine Loginprozedur für das BE notwendig. Wenn das Modul installiert ist, ist es sogleich aktiv = man ist immer "exklusiv" als admin (id=1) eingeloggt. Es ist also nicht alleine eine Frage der Sessionverlängerung, es entfällt das Login! Damit kann jeder Validator oder auch jedes Securitytool ohne Einlogprozedur die Arbeit durchführen. Das mit der Einlogprozedur funktioniert nämlich nicht in jeder Testsuite, und je nach Gestaltung des CMS-Logins scheitert es manchmal auch daran. Sinnvollerweise sollte man so etwas nicht auf einem produktiven System im Netz machen :roll: :evil:
MfG. Evaki
DarkViper:
Mir ist klar, was Du möchtest/bräuchtest. Du deutest allerdings aber auch den Pferdefuss daran in Deinem letzten Satz bereits an.
Ich gehe jede Wette ein, dass sich ein derartiges Tool blitzartig verbreitet und von jeder Menge Leute aus Bequemlichkeit aktiviert wird.
Es bringt zwar für den Normalverbraucher praktisch keinen Vorteil, da das Login sowieso meistens im Browser gespeichert ist und bis auf das letzte [ENTER]automatisch erfolgt. Aber genau diese Schwerarbeit des letzten Klicks muss dann zwingend bei vielen auch noch automatisch erfolgen. Ein idealer Angriffsvektor für jeden Möchtegern-Hacker.
Das sind leider keine - von mir erdachten - Phantasien, sondern schlicht Erfahrungswerte aus über 10 Jahren WB-Entwicklung. :-(
"Sicherheitsprobleme gibt es nur bei Anderen... niemals bei mir!"
Ich kenne Deine Testsuites jetzt nicht. Aber evt. lassen die sich 'überlisten'. Log Dich auf dem Rechner der Testsuit mit z.B. FF ein. Kopiere das neu erstellte Cookie mit dem Sessionhandler in den Cookiebereich der Suite und starte sie dann. Mit etwas Glück ist diese dann bereits eingelogt. Wie gesagt.. nur ein Versuch (ohne GewehrGewähr ;))
Navigation
[0] Message Index
[#] Next page
Go to full version