Author Topic: Sicherheitsverletzung!! ...IDKEY....FTAN  (Read 757 times)

Offline itepower

  • Posts: 5
Sicherheitsverletzung!! ...IDKEY....FTAN
« on: January 15, 2018, 09:30:57 AM »
Hallo, nachdem ich eine Website von der Version 2.8.2 / PHP 6.5 auf 2.10 /PHP 7.2 ubgedatete hatte, musste ich ein paar Kleinigkeiten nacharbeiten. Das Modul formx funktionierte nicht mehr, daher stieg ich auf das Modul mpForm um. Die Erstellung der Formulare usw. funktionierte alles wunderbar..... bis ich eine Änderung an dem Formular durchführen wollte. Hier erscheint jetzt immer entweder:
 -> Sicherheitsverletzu ng!! Zugriff wurde verweigert! (IDKEY) /...../modules/mpform/modify_field.php:46
oder z.B. beim Exportieren des Formulars
-> Sicherheitsverletzu ng!! Zugriff wurde verweigert! (FTAN) /..../modules/mpform/export_submissions.php:52
Der Hinweis, das man unter „Admin-Tools” → „SecureForm Switcher” in den „Multi Tab”-Einstellungen das „Fingerprinting” deaktivieren soll bringt leider nichts, da ich unter Admin Tools kein „SecureForm Switcher” habe!
Auch das abwarten von 24 Stunden hat nichts gebracht!
Was mache ich den hier grundlegend verkehrt oder was kann ich machen, dass ich im Backend die Formulare bearbeiten kann. Andere Seiten auf dieser Website kann ich normal bearbeiten und speichern.
Danke im Voraus
Günther

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 535
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #1 on: January 15, 2018, 11:29:22 AM »
Hallo Günther,

man darf nicht in mehreren Fenstern gleichzeitig arbeiten, da der Aufruf im einen Fenster bei der Erzeugung neuer Keys diejenigen vom anderen Fenster ungültig macht. Falls es trotzdem nicht funktionioniert, ist wohl im WB Core noch was faul. Es hieß, dass derartige Probleme glaub ich mit 2.8.3 sp7 der Vergangenheit angehören würden...

Zur Not lassen sich diese als Sicherheitsmaßnahme n gedachten Features in mpform abschalten. Seit Version 1.3.5 gibt es in constants.php entsprechende Schalter. Per Default sind diese auskommentiert, aber du kannst sie bei Bedarf aktivieren:
Code: [Select]
    define('MPFORM_SKIP_FTAN',true);
    define('MPFORM_SKIP_IDKEY',true);
und wenn die Einstellungen auch über Modul-Updates hinweg erhalten bleiben sollen, definiert man diese in einer zusätzlich angelegten constants.user.php

Wie gesagt, eigentlich ist das ein Sicherheitsfeature und dieses zu deaktivieren ist eigentlich nur zu Debugging-Zwecken gedacht...

Grüße, Martin

Offline hgs

  • Betatester
  • **
  • Posts: 920
    • EFG MG
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #2 on: January 15, 2018, 01:03:06 PM »
Hallo, nachdem ich eine Website von der Version 2.8.2 / PHP 6.5 auf 2.10 /PHP 7.2 ubgedatete hatte,

Hallo itepower
Ein Upgrade von WB 2.8.2 auf WB 2.10 ist nicht in einem Schritt möglich. Wurde die Upgradeanweisung (erst auf WB 2.8.3 und dann auf WB 2.10) eingehalten?
Eine php-Version 6.5 gab es nicht, hoffe du hast nur einen Zahlendreher im Text aber viel wichtiger die WB Version 2.10 ist nicht mit php7.2 getestet.
Erst die Nachfolgeversion, sich sich zur Zeit im erweiterten Test befindet, ist m.W. php 7.2 tauglich.

Diese 2 Punkte könnten schon der Grund für die Probleme sein.
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline itepower

  • Posts: 5
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #3 on: January 15, 2018, 01:28:28 PM »
Hallo,
@ Martin:
Vielen Danke für die schnelle und brauchbare Antwort!
Ich konnte jetzt im mpForm (benutze die Version 1.3.16) diese Verhalten deaktivieren (War ja schon alles schön vorbereitet ....if(!defined('MPFORM_SKIP_FTAN')){ define('MPFORM_SKIP_FTAN',true);}.....!)
Ich kann nun zwar exportieren ohne Sicherheitshinweis, nur leider kann ich die einzelnen Formularfelder nicht bearbeiten wenn ich auf BEARBEITEN gehe. Hier wird dann nur "neues Feld" geöffnet! (Teste nochmals mit PHP 7.1!)

@ hgs:
Stimmt, ich hatte einen Zahlendreher. Nicht PHP 6.5 sondern 5.6!
Ansonsten benutze ich aktuell die PHP Version 7.2 .... werde auf 7.1 zurück gehen!
Auch habe ich in zwei Schritte das Update von WB 2.8.2 auf 2.10 durchgeführt (2.8.3 SP5... 2.10)

Wenn ich neue Erkenntnis habe werde ich diese posten! Danke!
Günther

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #4 on: January 15, 2018, 01:45:56 PM »
Quote
man darf nicht in mehreren Fenstern gleichzeitig arbeiten, da der Aufruf im einen Fenster bei der Erzeugung neuer Keys diejenigen vom anderen Fenster ungültig macht. Falls es trotzdem nicht funktionioniert, ist wohl im WB Core noch was faul.

Mit WB geht das sehr wohl und auch sehr zuverlässig, das man im Backend in diversen Browser-Tabs oder -fenstern arbeiten kann, Das sollte auch sehr leicht in mehreren Fenstern nachweisbar sein. Mittlerweile ist fast jede Aktion dort über eine der Methoden abgesichert.
Aus eigener Erfahrung kann ich dir sagen, das die Ursachen immer in der Integration von FTAN oder IDKEY liegen. Jede Aktion mit Ajax ohne einen kompletten Reload der Seite verbraucht z.b. die generierte FTAN und sämtlich ID's.
Eine andere Möglichkeit ist, das eine neue FTAN/IDKEY generiert wird, bevor die alte verarbeitet wurde. Dann sollten diesen "Fehler" aber alle Benutzer des Moduls haben.

Ich persönlich gehe davon aus, das hier ein Problem mit der Erfassung der Daten, die zur Generierung der FTAN verwendet werden, beim User Günter vorliegt und kein Fehler im Modul MPForm selbst. Es ist immerhin eines der beliebtesten Module und die Rückmeldungen sind einfach zu wenig.

Wie wird die FTAN generiert?
bedeutenster Teil und auch meine vermutete Ursache ist der sogenannte Fingerprint. Die ist eine Ansammlung sämtlicher Informationen über den verwendeten PC, von der Bildschirmauflösung, Zeitzone, Systemfarben, Plugin-Versionen, Schriftarten über Browseridentifikati on bis hin zur aktuellen IP-Adresse. All diese Informationen werden aneinander gereiht und zur Generation des Codes benutzt, ist im Übrigen nichts, was WB erfunden hat, sondern eine ganz allgemeine, aber auch sichere Methode zur Client-Identifikation.
Fehlt beim Formularempfang nur einer dieser Werte oder hat er sich zwischen Generation der FTAN beim Öffnen einer Seite bis zur Formularauswertung auf der nächsten Seite, also nach Absenden des Formulars, geändert, ist der Wert, der auf der Empfangsseite gecheckt wird, natürlich unterschiedlich zu dem, der abgesendet wurde.
Als Beispiel einfach nur die IP-Adresse. Diese wird auf ihre 4 Blöcke gecheckt. Mein lokales Netzwerk zu Hause generiert für jeden Zugriff eine dynamische IP. Wer X Minuten keine Netzwerkanforderung macht, bekommt nach dieser Spanne eine neue IP-Adresse, in der sich der letzte Block geändert hat. Ich würde also in diesem ebenfalls eine Sicherheitswarnung bekommen, wenn ich in dieser Zeit keine anderen Netzwerkzugriffe habe. Bei mir persönlich hier unmöglich, bei meinen Kids, die nur ab und an ins Netzwerk kommen Gang und Gebe
Um am Laptop oder Tablet, das ich nur hin und wieder verwende, diesem Problem aus dem Weg zu gehen, wird in den WB-Optionen das Fingerprinting deaktiviert (erweiterte WB-Optionen)

Diese Deaktivierung hat bisher jedem geholfen, der sich hier mit Problemen gemeldet hat
Wem das nicht genügt, der kann mit den Tokenwerten "spielen". Fehlbedienungen sind ausgeschlossen. Ist man außerhalb des erlaubten Bereichs werden die Standardwerte gesetzt. Eine Null in beiden Feldern schalten den jeweiligen Token aus.
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #5 on: January 15, 2018, 01:47:00 PM »
PHP Version spielt bei der FTAN / IDKEY keine Rolle, zumindest nicht in WB
Ob MPForm das kann, weiß ich nicht
« Last Edit: January 15, 2018, 01:54:15 PM by jacobi22 »
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Ruud

  • Posts: 3640
  • Gender: Male
  • Do not use PM for help! Please use the forum!
    • Dev4Me - Professional WebsiteBaker Development
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #6 on: January 15, 2018, 01:48:22 PM »
Also make sure to use the backend-theme provided by WB2.10. Older backend themes will give these kind of problems too!

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 535
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #7 on: January 15, 2018, 03:00:10 PM »
Hallo

@Günther
Ich kann nun zwar exportieren ohne Sicherheitshinweis, nur leider kann ich die einzelnen Formularfelder nicht bearbeiten wenn ich auf BEARBEITEN gehe. Hier wird dann nur "neues Feld" geöffnet! (Teste nochmals mit PHP 7.1!)
oh, das ist ein Bug in dem Debugging-Modus mit deaktivierten IDKEYs. probier mal die angehängte Version.

@jacobi22
danke für die ausführliche Erklärung zu den FTANs unter WB 2.10. Mit mpForm war das von mir beschriebene Szenario zumindest unter älteren WB Versionen die Hauptursache für die Sicherheitsverletzu ngen (damals auch bekannt als "Single Tab Modus").

Eine andere Möglichkeit ist, das eine neue FTAN/IDKEY generiert wird, bevor die alte verarbeitet wurde.

Passiert nicht genau dieses Szenario, wenn du ein zweites Fenster mit einem Modul öffnest, das FTANs verwendet? Da wird doch dann eine neue generiert, bevor das Formular aus der ersten Seite verarbeitet wird, oder nicht?

viele Grüße,
Martin

PS: in der angehängten Version ist aufgrund der Größenbeschränkung für Dateianhänge im Forum die Dokumentation nicht mit enthalten

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #8 on: January 15, 2018, 03:59:45 PM »
Quote from: Martin
Quote from: jacobi22
Eine andere Möglichkeit ist, das eine neue FTAN/IDKEY generiert wird, bevor die alte verarbeitet wurde.
Passiert nicht genau dieses Szenario, wenn du ein zweites Fenster mit einem Modul öffnest, das FTANs verwendet? Da wird doch dann eine neue generiert, bevor das Formular aus der ersten Seite verarbeitet wird, oder nicht?

Nein, die FTAN's sind fenster-gesteuert, früher entsprach das dem MultiTab-Mode
In einfachen Worten: man kann in einem BrowserTab Modul1 bearbeiten, im zweiten Tab ein anderes Modul oder eben eine andere Funktion in WB
Mit anderen Worten: der MultiTab-Mode ist jetzt immer aktiv, er wurde nicht entfernt

Hat man aber im Tab 1 eine modify.php geöffnet und öffnet die gleiche Seite auch im zweiten Tab, wird die FTAN im ersten Tab überschrieben, der jeweils zuletzt geladene Tab bleibt funktionsfähig, der zuerst geladene erzeugt bei weiterer Benutzung eine Sicherheitswarnung.

Wie gesagt, bei einem grundsätzlichem Fehler im Modul würde jeder Benutzer meckern und niemand könnte in der Standardinstallatio n, also ohne MPFORM_SKIP_FTAN ein Feld anlegen.
Ich bin mir sicher, das hier der Fingerprint zu scharf ist,
ausschalten und probieren...
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline itepower

  • Posts: 5
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #9 on: January 15, 2018, 04:03:22 PM »
Hallo Martin,

danke für die Version mpform-1.3.16.1!
Jetzt kann ich die Felder wieder bearbeiten!

viele Grüße
Günther

Offline itepower

  • Posts: 5
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #10 on: January 15, 2018, 04:09:32 PM »
Hello Ruud,
thanks for the hint! I'm currently using WebsiteBaker Default Theme v1.2.20.
Should be suitable for Website Baker 2.10.0.
Best regards
Günther

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 535
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #11 on: January 15, 2018, 04:24:26 PM »
Hallo Günther,

danke für die Version mpform-1.3.16.1!
Jetzt kann ich die Felder wieder bearbeiten!

super. Damit hast du ja jetzt mal einen Workaround. In einem nächsten Schritt kannst du ja wie von jacobi22 vorgeschlagen das Fingerprinting abschalten oder "an den Tokenwerten drehen" und die Checks wieder einschalten. Ich mach dann bei Gelegenheit eine offizielle Version 1.3.17 draus, möglicherweise gebündelt mit weiteren Änderungen falls das in der nächsten Zeit welche anstehen

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #12 on: January 15, 2018, 07:31:26 PM »
zur Zeit fehlt mir leider die Zeit, noch irgendwas nebenbei zu testen etc

das Modul läuft aber im Front-und Backend der Testumgebung und die im Eingangs-Post genannten Probleme treten hier nicht auf.
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 535
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #13 on: January 15, 2018, 11:51:58 PM »
@jacobi22

kein Thema. Danke für deinen Input!

Günther hat ja jetzt einen Workaround und einen Vorschlag wie das Problem grundsätzlicher zu lösen ist, und nebenbei hab ich einen Bug unter ein wenig exotischen Debugging-Bedingungen entdeckt. mpForm ist bei deaktiviertem IDKEY-Check zwar nicht direkt ausgestiegen, hat sich aber nicht ganz so verhalten als würde der Core keine IDKEYs unterstützen, obwohl dieser Fall eigentlich über einen Fallback abgedeckt ist. Wie gesagt, nehm ich den Fix in die nächste offizielle Version mit auf

Offline jacobi22

  • Posts: 5201
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #14 on: January 15, 2018, 11:57:49 PM »
weil wir gerade dabei sind, in der französischen Übersetzung (/modules / mpform / languages / FR.php - Zeile 212) hat sich ein Fehler eingeschlichen

Komma statt Semikolon am Ende der Zeile

Korrektur - Zeile 211 und 212 müssen verbunden werden - Punkt am Beginn von 212

da gibt es auch diverse Fehldarstellungen der Zeichen, z.b. Zeile 221
Quote
des_conditional_div'         => "code g�n�r� - vous
Probleme sind da, um sie zu lösen, nicht, um nach Ausreden zu suchen.

Offline itepower

  • Posts: 5
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #15 on: January 16, 2018, 08:23:30 AM »
Hallo,

@ jacobi22
@ Martin
@ allen Anderen
Nochmals Danke für die schnelle Hilfe!
Ich werde bei Gelegenheit (!?) die ganze Sache auch nochmals in allen Einzelheiten ausprobieren... und bei neuen Erkenntnissen auch posten!
Günther

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 535
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung!! ...IDKEY....FTAN
« Reply #16 on: January 16, 2018, 11:45:21 AM »
weil wir gerade dabei sind, in der französischen Übersetzung (/modules / mpform / languages / FR.php - Zeile 212) hat sich ein Fehler eingeschlichen...
danke, wird gefixt