Author Topic: Admin-Dauerlogin  (Read 18836 times)

Offline evaki

  • Posts: 2753
Admin-Dauerlogin
« on: June 16, 2019, 04:17:52 PM »
Altes Thema neu aufgelegt (weil das mit den Loginprozeduren in der Testsoftware nicht immer reibungslos funktioniert)
Es wäre für umfassende Tests sinnvoll, ein Plugin für den dauerhaft eingeloggten Zustand (BE) zu besitzen. Bisherige Testergebnisse beziehen sich ausschließlich auf FE, aber nicht auf mögliche Fehler oder Angriffsmöglichkeit en innerhalb des BE. Auch die simpelsten HTML-Validierungen sind so nicht durchzuführen.
Für 'nen WB-Fork hatte ich so'n Teil mal. Es geht also. Warum nicht in WB?

Vor Jahren hatte ich mal 'ne Möglichkeit, weiß aber nicht wie realisiert. Das Ergebnis war damals - hab' im Moment keinen freundlichen Ausdruck dafür - was sich mittlerweile mit w3c und anderem gebessert haben könnte - man erfährt ja nix - is ja alles Meister Propper, Clementine, Clerasil, oder so...
Vertrauen, nur mal so reingeworfen, ist aber einer der schlechtesten Sicherheitsparamete r - ähm, "eigentlich gar keiner. Dummerweise wird genau das meist vollkommen ignoriert, also von denen, die sich ein CMS installieren. Es sind ja nicht nur die DAUS vor den Phones- und ClickiBunti-Bildschirmen.
MfG. Evaki
« Last Edit: June 16, 2019, 04:30:50 PM by evaki »

Offline crnogorac081

  • Posts: 1912
  • Gender: Male
Re: Admin-Dauerlogin
« Reply #1 on: June 16, 2019, 06:52:28 PM »
If i understand correctly you want someone to be able to be  able to login as admin and test wb functionalities in backend ?
no bb in signature

Offline jacobi22

  • Posts: 5879
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Admin-Dauerlogin
« Reply #2 on: June 16, 2019, 07:12:51 PM »
what he want, is a solution to disable or overwrite the server session timeout, so that he stay in the backend for unlimited time. on my servers, i've no problems, to stay in the session (without actions!) for 24 hours, but other server kill the session after 15 min or two hours automatically.
for the normale job in the backend, it's only important, if you writer longer articles, there is no warning about the session end and maybe, you lost the whole work.
But Evaki work with tools to check the security of the backend and this job needs a long time
Wer nicht will, findet Gründe, wer will, findet Wege.

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #3 on: June 16, 2019, 08:05:33 PM »
Code: [Select]
Fork: $module_description = 'This tool completely opens the admin account for security checks.';Bedeutet, es ist keine Loginprozedur für das BE notwendig. Wenn das Modul installiert ist, ist es sogleich aktiv = man ist immer "exklusiv" als admin (id=1) eingeloggt. Es ist also nicht alleine eine Frage der Sessionverlängerung, es entfällt das Login! Damit kann jeder Validator oder auch jedes Securitytool ohne Einlogprozedur die Arbeit durchführen. Das mit der Einlogprozedur funktioniert nämlich nicht in jeder Testsuite, und je nach Gestaltung des CMS-Logins scheitert es manchmal auch daran. Sinnvollerweise sollte man so etwas nicht auf einem produktiven System im Netz machen  :roll:  :evil:
MfG. Evaki
« Last Edit: June 16, 2019, 08:15:50 PM by evaki »

Offline DarkViper

  • Forum administrator
  • *****
  • Posts: 3026
  • Gender: Female
Re: Admin-Dauerlogin
« Reply #4 on: June 16, 2019, 11:03:41 PM »
Mir ist klar, was Du möchtest/bräuchtest. Du deutest allerdings aber auch den Pferdefuss daran in Deinem letzten Satz bereits an.
Ich gehe jede Wette ein, dass sich ein derartiges Tool blitzartig verbreitet und von jeder Menge Leute aus Bequemlichkeit aktiviert wird.
Es bringt zwar für den Normalverbraucher praktisch keinen Vorteil, da das Login sowieso meistens im Browser gespeichert ist und bis auf das letzte [ENTER]automatisch erfolgt. Aber genau diese Schwerarbeit des letzten Klicks muss dann zwingend bei vielen auch noch automatisch erfolgen. Ein idealer Angriffsvektor für jeden Möchtegern-Hacker.

Das sind leider keine - von mir erdachten -  Phantasien, sondern schlicht Erfahrungswerte aus über 10 Jahren WB-Entwicklung.  :-(
"Sicherheitsprobleme gibt es nur bei Anderen... niemals bei mir!"

Ich kenne Deine Testsuites jetzt nicht. Aber evt. lassen die sich 'überlisten'. Log Dich auf dem Rechner der Testsuit mit z.B. FF ein. Kopiere das neu erstellte Cookie mit dem Sessionhandler in den Cookiebereich der Suite und starte sie dann. Mit etwas Glück ist diese dann bereits eingelogt. Wie gesagt.. nur ein Versuch (ohne GewehrGewähr ;))
Der blaue Planet - er ist nicht unser Eigentum - wir haben ihn nur von unseren Nachkommen geliehen

"You have to take the men as they are… but you can not leave them like that !" :-P
Das tägliche Stoßgebet: Oh Herr, wirf Hirn vom Himmel !

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4379
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Admin-Dauerlogin
« Reply #5 on: June 17, 2019, 08:55:40 AM »
Code: [Select]
Fork: $module_description = 'This tool completely opens the admin account for security checks.';Bedeutet, es ist keine Loginprozedur für das BE notwendig. Wenn das Modul installiert ist, ist es sogleich aktiv = man ist immer "exklusiv" als admin (id=1) eingeloggt.

Auf keinen Fall wird es das unter meiner Führung geben. Damit ist das Thema für mich nicht mehr diskutabel.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #6 on: June 17, 2019, 09:01:06 AM »
Quote
Pferdefuss
Naja, an anderer Stelle hörte ich etwas von Eigenverantwortung.
Erinnert mich an Postdemokratie:"Wir machen alles so, wie wir denken, daß es für Euch gut ist."
Womit man natürlich das 'selbst denken' nachweisbar abschafft. Macht aber nix, könnt ja beim nächsten Mal andere wählen, die es genauso machen  :roll: 

ps. Muß dann wohl bei uns irgendwer ran, und das vorhandene Teil mal auseinandernehmen.
Einen schönen Start in die Woche wünscht Evaki.

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #7 on: June 17, 2019, 09:19:35 AM »
Ganz vergesssen:
Quote
ein derartiges Tool
Es bedarf ja zusätzlich, soweit ich erinnere, einer zusätzlichen Änderung im Core, die dafür nötig ist, um "sowas" erst garnicht nebenbei in's normale Paket bzw. nicht wirksam werden zu lassen.
Somit ist das dann tatsächlich nur für Tester sinnvoll nutzbar.
Die Hilfesuchenden im Forum dürften wohl nicht zu den Anwendern zählen die im Core rumfummeln..
MfG. Evaki
« Last Edit: June 17, 2019, 09:26:18 AM by evaki »

Offline masju

  • Posts: 123
  • Gender: Male
Re: Admin-Dauerlogin
« Reply #8 on: June 17, 2019, 09:32:30 AM »
Vielleicht eine andere Lösung ohne Sicherheitsprobleme:

Es gibt da ein Firefox-Plugin, das regelmäßig den Server anpingt und damit Sessions erhält.
https://addons.mozilla.org/de/firefox/addon/msession-keeper/

Ich weiß allerdings nicht, ob das auch beim WB-Login funktioniert.

Gruß, masju

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #9 on: June 17, 2019, 09:51:16 AM »
Quote
Firefox-Plugin
Es geht um Sicherheitstools, die z.B. über keine eigenen Scripte usw. verfügen, um die Loginprozedur zu vollziehen. 
MfG. Evaki
« Last Edit: June 17, 2019, 09:56:41 AM by evaki »

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #10 on: July 02, 2019, 10:03:41 PM »
Quote
Auf keinen Fall wird es das unter meiner Führung geben. Damit ist das Thema für mich nicht mehr diskutabel.
Tja, so ist das mit den Führern.  Nicht der erste, der sich irgendwann der Realität stellen muß.
Manche Füherer kümmern sich fürsorglich um ihre Klientel, damit die nicht über'n Tellerrand runterfallen.

<offtopic>
Deshalb wieder unaufgeregt zum Thema:
Hat da jemand Angst, daß das BE bescheiden daherkommt?
Ein Test vor längerer Zeit, wie auch bekannt, hat es doch gezeigt, daß da mehr als nur Arges im Argen liegt/lag. An Sicherheit und validem html5 ist man anscheinend nicht so arg interessiert, sonst wäre das Tool kein besonderes Thema. Die Scheinargumente aus der DEV-Etage sind manchmal mehr als kurios. Da ist es nicht verwunderlich, daß einige abhauen. Ob die es deshalb besser machen, steht natürlich auf einem anderen Blatt.

Jedenfalls weiß anscheinend niemand, wie es im BE sicherheitstechnisc h aussieht.

Und zu beachten: "Niemand, egal ob WB oder Fork, ist hier blöd! Nur ist das Verhalten möglicherweise etwas schräg"
</offtopic>

Stellt sich noch die Frage nach der Veröffentlichung eines evtl. anfallenden Sicherheitsreports?
Wohin damit, wenn kein Ineresse daran besteht?
MfG. Evaki
« Last Edit: July 02, 2019, 10:13:55 PM by evaki »

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #11 on: July 02, 2019, 10:22:16 PM »
Falls jemand danach fragt:
"Natürlich habe ich die Weisheit mit Silberlöffeln in mich reingeschaufelt.
Besser wär's wohl mit Goldlöffeln gewesen, dann gäb's noch den Materialwert."

Offline CodeALot

  • Posts: 437
  • Gender: Male
Re: Admin-Dauerlogin
« Reply #12 on: July 08, 2019, 01:05:30 PM »
My knowledge of the German language isn't good enough to understand fully what is being said on this page (and Google Translate doesn't really get it, either)

(Side note) - WB could be so much more popular if the support forums were not predominantly in German... Sigh... (/Side note)

Fact is, I too have customers complaining about session limits. Working on a page with long texts only to find out you're logged off once you try to save your work. Extremely annoying.
Yes, it is a security thing, I know. But I don't think the CMS should determine for you how much or how little safety you wish to have.

Offline evaki

  • Posts: 2753
Re: Admin-Dauerlogin
« Reply #13 on: July 08, 2019, 01:11:14 PM »
Quote
Yes, it is a security thing, I know. But I don't think the CMS should determine for you how much or how little safety you wish to have.
(Y) (Y) (Y)

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4379
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Admin-Dauerlogin
« Reply #14 on: July 08, 2019, 07:34:44 PM »
My knowledge of the German language isn't good enough to understand fully what is being said on this page (and Google Translate doesn't really get it, either)

(Side note) - WB could be so much more popular if the support forums were not predominantly in German... Sigh... (/Side note)


I prefer this one https://www.deepl.com/translate

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline crnogorac081

  • Posts: 1912
  • Gender: Male
Re: Admin-Dauerlogin
« Reply #15 on: July 08, 2019, 10:28:59 PM »
It is verry questionable to make session not expiereable... possible fix  that requires user action to  click on popup to continue session...https://www.codeproject.com/Tips/1175658/Session-Expiration-Popup
no bb in signature

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4379
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Admin-Dauerlogin
« Reply #16 on: July 09, 2019, 12:09:48 AM »
Is on my TODO List, tks  (Y)

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung