WebsiteBaker Community Forum
General Community => Development 2.10.x => Topic started by: evaki on June 16, 2019, 04:17:52 PM
-
Altes Thema neu aufgelegt (weil das mit den Loginprozeduren in der Testsoftware nicht immer reibungslos funktioniert)
Es wäre für umfassende Tests sinnvoll, ein Plugin für den dauerhaft eingeloggten Zustand (BE) zu besitzen. Bisherige Testergebnisse beziehen sich ausschließlich auf FE, aber nicht auf mögliche Fehler oder Angriffsmöglichkeit en innerhalb des BE. Auch die simpelsten HTML-Validierungen sind so nicht durchzuführen.
Für 'nen WB-Fork hatte ich so'n Teil mal. Es geht also. Warum nicht in WB?
Vor Jahren hatte ich mal 'ne Möglichkeit, weiß aber nicht wie realisiert. Das Ergebnis war damals - hab' im Moment keinen freundlichen Ausdruck dafür - was sich mittlerweile mit w3c und anderem gebessert haben könnte - man erfährt ja nix - is ja alles Meister Propper, Clementine, Clerasil, oder so...
Vertrauen, nur mal so reingeworfen, ist aber einer der schlechtesten Sicherheitsparamete r - ähm, "eigentlich gar keiner. Dummerweise wird genau das meist vollkommen ignoriert, also von denen, die sich ein CMS installieren. Es sind ja nicht nur die DAUS vor den Phones- und ClickiBunti-Bildschirmen.
MfG. Evaki
-
If i understand correctly you want someone to be able to be able to login as admin and test wb functionalities in backend ?
-
what he want, is a solution to disable or overwrite the server session timeout, so that he stay in the backend for unlimited time. on my servers, i've no problems, to stay in the session (without actions!) for 24 hours, but other server kill the session after 15 min or two hours automatically.
for the normale job in the backend, it's only important, if you writer longer articles, there is no warning about the session end and maybe, you lost the whole work.
But Evaki work with tools to check the security of the backend and this job needs a long time
-
Fork: $module_description = 'This tool completely opens the admin account for security checks.';Bedeutet, es ist keine Loginprozedur für das BE notwendig. Wenn das Modul installiert ist, ist es sogleich aktiv = man ist immer "exklusiv" als admin (id=1) eingeloggt. Es ist also nicht alleine eine Frage der Sessionverlängerung, es entfällt das Login! Damit kann jeder Validator oder auch jedes Securitytool ohne Einlogprozedur die Arbeit durchführen. Das mit der Einlogprozedur funktioniert nämlich nicht in jeder Testsuite, und je nach Gestaltung des CMS-Logins scheitert es manchmal auch daran. Sinnvollerweise sollte man so etwas nicht auf einem produktiven System im Netz machen :roll: :evil:
MfG. Evaki
-
Mir ist klar, was Du möchtest/bräuchtest. Du deutest allerdings aber auch den Pferdefuss daran in Deinem letzten Satz bereits an.
Ich gehe jede Wette ein, dass sich ein derartiges Tool blitzartig verbreitet und von jeder Menge Leute aus Bequemlichkeit aktiviert wird.
Es bringt zwar für den Normalverbraucher praktisch keinen Vorteil, da das Login sowieso meistens im Browser gespeichert ist und bis auf das letzte [ENTER]automatisch erfolgt. Aber genau diese Schwerarbeit des letzten Klicks muss dann zwingend bei vielen auch noch automatisch erfolgen. Ein idealer Angriffsvektor für jeden Möchtegern-Hacker.
Das sind leider keine - von mir erdachten - Phantasien, sondern schlicht Erfahrungswerte aus über 10 Jahren WB-Entwicklung. :-(
"Sicherheitsprobleme gibt es nur bei Anderen... niemals bei mir!"
Ich kenne Deine Testsuites jetzt nicht. Aber evt. lassen die sich 'überlisten'. Log Dich auf dem Rechner der Testsuit mit z.B. FF ein. Kopiere das neu erstellte Cookie mit dem Sessionhandler in den Cookiebereich der Suite und starte sie dann. Mit etwas Glück ist diese dann bereits eingelogt. Wie gesagt.. nur ein Versuch (ohne GewehrGewähr ;))
-
Fork: $module_description = 'This tool completely opens the admin account for security checks.';Bedeutet, es ist keine Loginprozedur für das BE notwendig. Wenn das Modul installiert ist, ist es sogleich aktiv = man ist immer "exklusiv" als admin (id=1) eingeloggt.
Auf keinen Fall wird es das unter meiner Führung geben. Damit ist das Thema für mich nicht mehr diskutabel.
Dietmar
-
Pferdefuss
Naja, an anderer Stelle hörte ich etwas von Eigenverantwortung.
Erinnert mich an Postdemokratie:"Wir machen alles so, wie wir denken, daß es für Euch gut ist."
Womit man natürlich das 'selbst denken' nachweisbar abschafft. Macht aber nix, könnt ja beim nächsten Mal andere wählen, die es genauso machen :roll:
ps. Muß dann wohl bei uns irgendwer ran, und das vorhandene Teil mal auseinandernehmen.
Einen schönen Start in die Woche wünscht Evaki.
-
Ganz vergesssen:
ein derartiges Tool
Es bedarf ja zusätzlich, soweit ich erinnere, einer zusätzlichen Änderung im Core, die dafür nötig ist, um "sowas" erst garnicht nebenbei in's normale Paket bzw. nicht wirksam werden zu lassen.
Somit ist das dann tatsächlich nur für Tester sinnvoll nutzbar.
Die Hilfesuchenden im Forum dürften wohl nicht zu den Anwendern zählen die im Core rumfummeln..
MfG. Evaki
-
Vielleicht eine andere Lösung ohne Sicherheitsprobleme:
Es gibt da ein Firefox-Plugin, das regelmäßig den Server anpingt und damit Sessions erhält.
https://addons.mozilla.org/de/firefox/addon/msession-keeper/
Ich weiß allerdings nicht, ob das auch beim WB-Login funktioniert.
Gruß, masju
-
Firefox-Plugin
Es geht um Sicherheitstools, die z.B. über keine eigenen Scripte usw. verfügen, um die Loginprozedur zu vollziehen.
MfG. Evaki
-
Auf keinen Fall wird es das unter meiner Führung geben. Damit ist das Thema für mich nicht mehr diskutabel.
Tja, so ist das mit den Führern. Nicht der erste, der sich irgendwann der Realität stellen muß.
Manche Füherer kümmern sich fürsorglich um ihre Klientel, damit die nicht über'n Tellerrand runterfallen.
<offtopic>
Deshalb wieder unaufgeregt zum Thema:
Hat da jemand Angst, daß das BE bescheiden daherkommt?
Ein Test vor längerer Zeit, wie auch bekannt, hat es doch gezeigt, daß da mehr als nur Arges im Argen liegt/lag. An Sicherheit und validem html5 ist man anscheinend nicht so arg interessiert, sonst wäre das Tool kein besonderes Thema. Die Scheinargumente aus der DEV-Etage sind manchmal mehr als kurios. Da ist es nicht verwunderlich, daß einige abhauen. Ob die es deshalb besser machen, steht natürlich auf einem anderen Blatt.
Jedenfalls weiß anscheinend niemand, wie es im BE sicherheitstechnisc h aussieht.
Und zu beachten: "Niemand, egal ob WB oder Fork, ist hier blöd! Nur ist das Verhalten möglicherweise etwas schräg"
</offtopic>
Stellt sich noch die Frage nach der Veröffentlichung eines evtl. anfallenden Sicherheitsreports?
Wohin damit, wenn kein Ineresse daran besteht?
MfG. Evaki
-
Falls jemand danach fragt:
"Natürlich habe ich die Weisheit mit Silberlöffeln in mich reingeschaufelt.
Besser wär's wohl mit Goldlöffeln gewesen, dann gäb's noch den Materialwert."
-
My knowledge of the German language isn't good enough to understand fully what is being said on this page (and Google Translate doesn't really get it, either)
(Side note) - WB could be so much more popular if the support forums were not predominantly in German... Sigh... (/Side note)
Fact is, I too have customers complaining about session limits. Working on a page with long texts only to find out you're logged off once you try to save your work. Extremely annoying.
Yes, it is a security thing, I know. But I don't think the CMS should determine for you how much or how little safety you wish to have.
-
Yes, it is a security thing, I know. But I don't think the CMS should determine for you how much or how little safety you wish to have.
(Y) (Y) (Y)
-
My knowledge of the German language isn't good enough to understand fully what is being said on this page (and Google Translate doesn't really get it, either)
(Side note) - WB could be so much more popular if the support forums were not predominantly in German... Sigh... (/Side note)
I prefer this one https://www.deepl.com/translate
Dietmar
-
It is verry questionable to make session not expiereable... possible fix that requires user action to click on popup to continue session...https://www.codeproject.com/Tips/1175658/Session-Expiration-Popup
-
Is on my TODO List, tks (Y)
Dietmar