Sicherheit und Header/Footer

Allgemeine Diskussionen zu ConPresso 4. Handhabung, Möglichkeiten, Verständnisfragen.
Achtung: Bitte benutzt wenn möglich die themenspezifischen Foren!
Antworten
Wolfgang Henkel

Sicherheit und Header/Footer

Beitrag von Wolfgang Henkel »

Es wäre schön, wenn auch der Header/Footer im Browser editiert werden könnten. Gerade bei der Entwicklung ist nervig über externe Editoren diese zu bearbeiten und mit FTP hochladen, ändern wieder hochladen.... Wenn schon, dann alles im Browser bearbeiten.

Zur Sicherheit wäre es schön, die Verzeichnisse in einer cfg-Datei mit Variablen zu belegen und änderbar zu machen und nicht in den Quellen hard zu kodieren. Ob Conpresso sicher ist spielt dabei keine Rolle. Es gibt Bugs in php, MySQL und wenn man die Datei-Struktur kennt, kann man diese gezielt ausnutzen. Bei jeder Compresso-Seite kommen ich z.B. mit "http://www.seite..../_admin" zum Login..... Außerdem sollte die default-Weiterleitung zum Index der Seite gehen und nicht zum ADMIN Login.

Ist eben Sicherheit durch Unbekanntheit....

Danke Wolfgang
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 01:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal
Kontaktdaten:

Re: Sicherheit und Header/Footer

Beitrag von semf »

hallo wolfgang,

zu:
>Zur Sicherheit wäre es schön, die Verzeichnisse in einer cfg-Datei mit Variablen zu belegen und änderbar zu machen und nicht in den Quellen hard zu kodieren. Ob Conpresso sicher ist spielt dabei keine Rolle. Es gibt Bugs in php, MySQL und wenn man die Datei-Struktur kennt, kann man diese gezielt ausnutzen.<

welches php/mysql-basierte programm ist so aufgebaut? für z.b. oscommerce, phpmyadmin etc. wäre das dann auch "sicher" interessant. müssten aber nicht spätestens beim aufruf deiner seite die ordnername auftauchen!? wenn um's admin-verzeichnis geht - .htaccess vorschalten.

zu:
>Bei jeder Compresso-Seite kommen ich z.B. mit "http://www.seite..../_admin" zum Login..... Außerdem sollte die default-Weiterleitung zum Index der Seite gehen und nicht zum ADMIN Login.<

hast du conpresso 4 schon getestet? da kannst du das nämlich festlegen!

Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
Wolfgang Henkel

Re: Sicherheit und Header/Footer

Beitrag von Wolfgang Henkel »

Hallo,
also phpmyadmin ist nicht für die Öffentlichkeit, sondern nur für Admins. Aber das Problem haben in der Tat viele CMS wie Nuke, Postnuke und Forensoftware, etc.:

php Bugs
http://www.heise.de/newsticker/meldung/54665
http://www.heise.de/newsticker/meldung/54320
http://www.heise.de/newsticker/meldung/55339

Wenn man die Möglichkeit hat Verzeichnisse umzubennen sollte man das machen und bei Conpresso wäre das mit wenig Aufwand bei fast allen Vrz. möglich, außer Rubrik.

conpresso 4 habe ich gestern installiert, aber ohne Doku habe ich das noch nicht gefunden?!

Ich warte mal bis die 4 Final und Doku fertig ist, macht glaube ich mehr Sinn, aber Header/Footer im Browser editieren, wäre schon toll :-)

Gruß Wolfgang
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 01:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal
Kontaktdaten:

Re: Sicherheit und Header/Footer

Beitrag von semf »

hallo wolfgang,

zu phpmyadmin:
klar ist das für admins! aber bei wievielen webpacketen mit db läuft das? und gerade der admin-bereich wäre doch interessant - wenn, dann will ich dir als hacker doch richtig schaden zufügen ;-)

zu den php-bugs:
54665 - >Voraussetzung ist allerdings, dass register_globals aktiviert ist. Die Lücke ist in Version 4.2.3 geschlossen.< - register_globals als sicherheitslücke ist schon lange bekannt - cpo4 wird ohne register_globals=on auskommen.

54320 - funktionen-bugs, die aber behoben wurden.

55339 - beschreibt ein performanceproblem

also meines erachtens sollten die php-entwickler was tun und nicht unbedingt conpresso!

Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
Antworten