Author Topic: Module - Webbasededit = Admintool update  (Read 1226 times)

Offline evaki

  • Posts: 2223
Module - Webbasededit = Admintool update
« on: July 30, 2018, 10:18:40 AM »
Code: [Select]
forum.WebsiteBaker.org/index.php/topic,10501.msg61959.html#msg61959Update: WB-webadmin Version 0.9, revision 13-DEV (no module)

EN:
Attempt of an update for php7
Options: force ssl/tls, access protection
For Admins and Dev only

DE: Versuch eines Updates für php7
Optionen: Zwangsredirect auf SSL/TSL, Zugriffsschutz
Nur für Admins und Entwickler

Reg./MfG. Evaki (Still on the road :-)  )
« Last Edit: July 30, 2018, 10:26:39 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline dbs

  • Betatester
  • **
  • Posts: 7558
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Module - Webbasededit = Admintool update
« Reply #1 on: July 30, 2018, 11:56:05 AM »
Scheint zu funktionieren.
Bin auf deine Sicherheitstest gespannt.  :-)
Wozu braucht man webadmin eigentlich? Weil Addon File Editor einen nicht in ROOT lässt?

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #2 on: July 30, 2018, 01:05:06 PM »
>>Weil Addon File Editor einen nicht in ROOT lässt?
Naja, für addon halt und natürlich root-Zugang. Wichtig aber, daß man z.B. Ordner und Datein anlegen und deren Rechte setzen können sollte.
Zur Zeit habe ich aber unterwegs kaum, oder nur unter erschwerten Bedingungen die Gelegenheit die Funktionen zu testen. Ich weiß also gar nicht, ob alles wie gehabt bzw. wie's soll funktioniert.

Sicherheitstest geht wohl erst wieder in der Heimat. Da ssl/tls + Zugriffsschutz mit PW, sollte da "eigentlich" nix passieren, ist ja noch nicht mal'n include oder Form drin, der Server liefert die Abfrage. Abgesehen davon. läßt man so'n Teil nicht rumliegen. Erweitern könnte man das Script um Multiuser-Zugang. Da geht aber möglicherweise über kurz oder lang die Kontrolle darüber "flöten".
Deshalb eben nur für Admin bzw. Leute, die wissen was sie tun.

MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline hgs

  • Betatester
  • **
  • Posts: 924
    • EFG MG
Re: Module - Webbasededit = Admintool update
« Reply #3 on: July 30, 2018, 02:44:40 PM »
Kurz unter php7.2 angetestet und ich hätte soweit alles ändern können. Bin in keinen Fehler gelaufen.

LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #4 on: July 30, 2018, 08:14:35 PM »
Hatte mal kurz die Gelegenheit (wahrgenommen)
>>Bin in keinen Fehler gelaufen
Ich bisher nun auch nicht. Aber bei den Texten gibts wg. der Zeile -die aktuell nicht zwingend ist-:
header("Content-Type: text/html; charset=utf-8");
bei Umlauten etc. Darstellungsfehler.
Also deaktivieren oder die Texte korrigieren.
Wenn sonst nix mehr kommt, wirds halt nach 'ner "gewissen" Zeit korrigiert, auf welche Art auch immer.
Kämen diverse Sprachen hinzu, wäre natürlich utf-8 naheliegender.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #5 on: July 30, 2018, 09:01:08 PM »
Na, das war wohl'n "falscher Fehler", und damit auch ein kompett falscher Ansatz für die Fehlerbereinigung. Texte sind wohl ok, wenn ich richtig gesehen habe.

Vielleicht kann ja jemand schauen, ob die fehlerhafte Darstellung auch bei ihm auftritt.
Im Moment bin ich in Sachen Test und Probieren eingeschränkt. Kann ja sein, daß es nur bei mir auftritt.

Ich gucke wieder darauf wenn ich wieder zuhause bin. Jetzt, so unterwegs, habe ich nur gelegentlich die Ruhe für sowas.


MfG. Evaki
« Last Edit: July 30, 2018, 09:17:07 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline CodeALot

  • Posts: 387
  • Gender: Male
Re: Module - Webbasededit = Admintool update
« Reply #6 on: July 31, 2018, 10:03:25 AM »
Code: [Select]
forum.WebsiteBaker.org/index.php/topic,10501.msg61959.html#msg61959Update: WB-webadmin Version 0.9, revision 13-DEV (no module)

Is it too much to ask if you'd create this archive using regular ZIP?

Offline dbs

  • Betatester
  • **
  • Posts: 7558
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Module - Webbasededit = Admintool update
« Reply #7 on: July 31, 2018, 10:18:38 AM »
Hi, you need the program 7zip.
Attached the same as a normal zip.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4160
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Module - Webbasededit = Admintool update
« Reply #8 on: August 01, 2018, 12:03:36 AM »
Ich bin nicht begeistert, Sogar der Fork schreibt dazu

Quote
VORSICHT!
Webadmin enthält weder Beschränkungen auf den Dateizugriff und noch einen Zugangsschutz. Das Skript sollte also sofort nach Gebrauch wieder per FTP vom Server entfernt werden. Ansonsten gibt man jedem, der mit Suchmaschinen umgehen kann, vollen Zugriff - nicht nur auf die Dateien im Wurzelverzeichnis,  sondern auf ALLE Dateien und Ordner auf dem Webserver!

Kopieren Sie Webadmin sicherheitshalber in ein eigenes Verzeichnis mit möglichst abwegigem, nicht erratbarem Namen unterhalb des Wurzelverzeichnisse s und schützen Sie dieses mittels .htaccess und .htpasswd . Wenn Sie nicht wissen, wie das geht, sollten Sie Webadmin auf gar keinen Fall benutzen!

Die Frage die sich mir stellt, wenn ich doch FTP Zugriff habe dann brauche ich diese Tool nicht.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #9 on: August 01, 2018, 11:41:24 AM »
Na, mit diesen Argumenten, wenn auch nicht unkluge, hätte man das Tool erst garnicht entwickeln brauchen, da wg. FTP vollkommen überflüssig. Man bräuchte ein bekanntes addon-edit, wie auch andere sich auf Datei- und Vezeichnisebene bewegenden Tools dann aber auch nicht.

Nein, in einigen Fällen hat man keinen FTP-Zugang, von anderen Gründen ganz zu schweigen. Meist bieten aber z.B. vohandene CMS eine Möglichkeit ausführbare Dateien zu importieren, in WB halt über die Installation eines Moduls oder Templates, es darf auch ein Phantom sein, wenn es über die Installationsoption übertragbar ist.

Das Update bietet im Gegensatz zum Original einen Password-Schutz, es braucht keine Verschleierung oder andere halbgaren Lösungen, weshalb die vorgebrachten Bedenken nicht greifen.

Das Modul strebe ich erst gar nicht an, da es "nur" :-) auf WB-Sicherheit beruht.

Ach ja, was "sogar der Fork" dazu schreibt geht mir an den Backen vorbei, denn wer anderen aktiv beim Aufbau einer geschäftlichen Website hilft (Schulterklopfen und Seitenhiebe auf WB inbegriffen), und all die massiven Sicherheitslücken nicht sieht, es sind verdammt nicht wenige, darf die Klappe halten, wenn nicht etwas nützlicheres dabei herauskommt.

Und, wer FTP benutzt, sollte auch wissen was er tut, denn da passiert gleiches.
Ein ganz anderes Kaliber wäre es, wenn man noch 'ne Shell unterbringt.

MfG. Evaki
« Last Edit: August 01, 2018, 11:53:55 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8364
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Module - Webbasededit = Admintool update
« Reply #10 on: August 01, 2018, 01:22:16 PM »
Hallo,

unabängig von irgendeinem CMS kann man auch den Originascript verwenden. Und über dessen "Gefährlichkeit" gibt es ebenfall unabängig von irgendeinem CMS Warnhinweise zuhauf. Den Script in ein WB-Modul einzubauen hatte ich noch nie befürwortet. Die Nutzung dieses mächtigen Tools ist über das Modul jetzt auch jedem DAU möglich, der sich damit seine komplette WB-Installation zerschießen kann. Meine Meinung zu dem Thema:
- User die sich auskennen, haben in der Regel die Mglichkeit des FTP-Zugangs, der für Dateioperationen völlig ausreichend ist.
- User, die sich nicht auskennen, und denen man aus welchen Gründen auch immer keinen FTP-Zugang gewährt, denen solten solche Tools schon zweimal nicht zur Verfügung stehen.

Zusammenfassend:
das Ding braucht kein Mensch, es stellt ein massives Sicherheitsrisiko dar
Fazit:
weg damit

Matthias

P.S.
Es ist ein Riesenunterschied, ob man aus WB heraus Systemdateien löschen kann und damit das kompette System lahmegt, oder ob man nur an Template- oder Moduldatein rumschraubt (AFE) und sich damit vielleicht einzene Abschnitte oder Seiten zerschießt, das System aber an sich stabil beibt.

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #11 on: August 01, 2018, 01:44:38 PM »
Diese Art der "pädagogischen Betreuung" = Bevormundung und Verteufelung braucht auch niemand.
Nun ist schon mehrmals auf den Zugriffsschutz hingewiesen worden, was aber anscheinend nur zum Motto führt: "Oft genug wiederholen, denn es bleibt immer etwas haften."

Zudem hinkt die Argumentation an allen Stellen.

"User die sich auskennen" nutzen nicht nur aus einer Bequemlichkeit heraus auch öfter ein webbasiertes Tool, statt 'nen FTP-Client. SFTP-Zugang stellt immer noch nicht jeder Hoster zur Verfügung. Stattdessen verweist man des öfteren auf ein control-panel für den Webspace.

Auch gilt es nicht, daß ein FTP-Nutzer zwangsläufig auch die nötige Kompetenz mitbringt. Wenn man sich diverse Probleme mit dem WB-Upload und den notwendigen Operationen anschaut, im Forum nicht selten zu sehen, darf man an den Kompetenzen durchaus zweifeln.

Auch gab es schon Situationen -ist gar nicht so lange her--, wo trotz fehlendem FTP-Zugang der Eigentümer vor dem Problem stand, einen berechtigten Zugang zu bekommen. 

Ich halte jedenfalls meinen Anwenderkreis nicht für blöd, und stelle ihm alle Möglichkeiten zur Verfügung, wenn sie nicht selber schon welche gesucht und gefunden haben. Die sind nämlich, man glaubt es kaum,   alle erwachsen und volljährig. Auch wissen die, wie man in WB einige "unbefugte" Operationen durchführt, wenn man als Benutzer "drin" ist.

MfG. Evaki
« Last Edit: August 01, 2018, 01:58:45 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #12 on: August 01, 2018, 02:07:54 PM »
@ruebenwurzel
Es ist ein Update für das Original-Script und kein neues WB-Modul(-Update).
Eben wegen...1.2.3.4...
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #13 on: August 02, 2018, 07:17:43 AM »
Und nochn Nachtrag -hab gut gefühstückt :-)  - zu
Code: [Select]
Es ist ein Riesenunterschied, ob man aus WB heraus Systemdateien löschen kann und damit das kompette System lahmegt, oder ob man nur an Template- oder Moduldatein rumschraubt (AFE) und sich damit vielleicht einzene Abschnitte oder Seiten zerschießt, das System aber an sich stabil beibt.
Die Sicherheit bei WB beruht auf Vertrauen, und nicht auf besonders gutem auf Sicherheit ausgelegtem Design (sagt man dazu nicht auch "broken by design" ? :-)  ).
Damit läßt sich aber durchaus gut leben, wenn auf anderer Ebene vorgesorgt ist.

Ein Tool wie  AFE als Alternative vorzustellen, ist deshalb auch komplett an einer vermeintlichen Sicherheit vorbei gedacht. Wer irgendeinem webbasierten Tool erlaubt Dateien zu editieren, hat das TOR sperrangelweit aufgemacht, weil damit jegliches Script im gewünschten Sinne ermöglicht wird.
Macht mit AFE genauso viel Spaß wie mit webadmin.

Gut ist doch, daß WB gegen "versehentlich" eingeschleuste Inhalte, wie in media, geschützt ist.
Wer als Mitarbeiter unautorisiert absichtlich eindringt, sollte die rechtlichen und sozialen Konsequenzen bedenken.


MfG. Evaki
p.s Heute mal nur Wasser, Wasser, Wasser... (Strand) Wünsche Euch allen einen schönen Tag.
« Last Edit: August 02, 2018, 07:33:18 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4160
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Module - Webbasededit = Admintool update
« Reply #14 on: August 02, 2018, 11:28:19 AM »

Ein Tool wie  AFE als Alternative vorzustellen, ist deshalb auch komplett an einer vermeintlichen Sicherheit vorbei gedacht. Wer irgendeinem webbasierten Tool erlaubt Dateien zu editieren, hat das TOR sperrangelweit aufgemacht, weil damit jegliches Script im gewünschten Sinne ermöglicht wird.
Macht mit AFE genauso viel Spaß wie mit webadmin.


 (Y) (Y) (Y) (Y)
Seit Jahren reden DarkViper und ich, uns den Mund fusselig  :cry:
Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #15 on: August 02, 2018, 06:11:14 PM »
Ich glaub ja, daß die Rollen der Admins nicht klar definiert sind.
Im Rückblick konnte in der Aufbruchzeit jeder alles sein.
In Zeiten von KlickiBunti kann man die ursprüngliche Neugier nicht mehr voraussetzen; auch unter dem Sicherheitsaspekt sind die Rollen anders verteilt, bzw. sollten sie sein.

Angenommen sind z.B.
Admin System: System control panel, ftp, shell "Herr über fast alles"
Admin WB: Exklusiv auf WB bezogene Operationen -im Idealfall darauf beschränkt, also nicht durch Tricksereien ins System eingreifen können.
Tja, welche Eigenschaften sollen und dürfen bei dieser Vorgabe die in WB ausführbaren "Admintools" besitzen, also "für wat is dat jetz joot?"

Ich frag ja nur, weil in unserem Anwenderkreis solche Fragen schon sehr früh (im Zusammenhang mit den Sicherheitsaudits und Anwendern mit Hackerambitionen) auftauchten. Was dabei rauskam war teilweise ganz pragmatisches (Hoster-Backup) und zum Teil im Forum vergessenes, wie z.B. die Prüfung der WB-Dateien auf Veränderung -natürlich nicht in WB, sondern geschützt unter anderem Webuser. Hier wäre dann der System-Admin gefragt, und ein "gescheiter" Hoster. Aber das nur als eine der Überlegungen und auch durchgeführten Maßnahmen. Solche Vorgehensweisen sind nicht nur bei WB gefragt. Ich sags mal so.  "andere CMS machens auch (noch) nicht besser", nur daß dort halt drüber weggeschwafelt wird. Muß ja heutzutage alles eaysy daherkommen.

MfG. Evaki
p.s. Warum is et am Rhein so schön?
Weil die Mädel so lustig und die Burschen so durstig...
Nä, ne. Dat Wasser is so warm wie an de Ostsee, aber et fließt... und et jibbt Kölsch oder Altbier. Ja is ja jut, auch Köpi
« Last Edit: August 02, 2018, 06:19:58 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2223
Re: Module - Webbasededit = Admintool update
« Reply #16 on: August 04, 2018, 11:08:55 PM »
Da die Möglichkeiten eines wie oben angegebenen "Admin WB" mehr als beschränkt sind, die Möglichkeiten von Beschränkungen sind selbst beschränkt, einige sinnvolle Tools damit unmöglich werden, kann die Schlußfolgerung m.E. nur sein, daß die Admin-Tools sehr wohl systemübergreifend sein dürfen und sollen, also z.B. AFE wie auch webadmin, von mir aus auch noch 'nen Commander-Clone, aber dann auch wirklich nur für einen Admin zugänglich sind.

Falls die Rechtevergabe das nicht leistet, ich weiß es im Moment nicht, hab schon länger nicht mehr reingeguckt, muß es so strikt einstellbar sein, notfalls mit ner Zeile PHP aufs Modul oder Script obenauf, so daß dies gewährleistet ist.

Es macht also überhaupt keinen Sinn das ein oder andere Tool als untauglich oder gefährlich zu bezeichnen, nur weil jeder angemeldete Nutzer Admin-Tools benutzen könnte, also nur die Möglichkeit besteht. Das ist reine Panikmache. Vergebt die Rechte gescheit, und gut ist's. Ein Admin sollte nun wirklich wissen was er tut. Rechtlichen Pflichten unterliegt er schon, meist durch Verträge abgesichert. Oder muß der jetzt vorher auch noch eine Prüfung (bei wem und in was) ablegen? Noch'n Führerschein? Wenn ich schon Führer höre. Möglicherweise auch noch in Funktionskleidung  :-)

MfG. Evaki
« Last Edit: August 04, 2018, 11:22:34 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.