Die Warnung
The sysadmin and/or the admin account still contains a well-known default password. Please change immediately after login.
ist zwar nett gemeint, aber ich halte sie für schlecht.
Grund: Es gibt zahlreiche Situationen, in denen man als Administrator die Warnung selbst nicht sieht (z.b. bei einem Datenbanktransfer), die Warnung öffnet aber "Angreifern" Tür und Tor. Die Warnung anzuzeigen mag zwar für den Einsteiger wichtig sein, aber sie ist reiner Selbstmord für das System, da jeder, der auch nur zufällig auf die Login-Seite kommt, sofort weiß, was Sache ist.
Ich bitte daher um sofortige Entfernung dieser Warnung.
Grüße,
Timo
Warnung bezüglich Standardpasswort
-
timo.nuros
- Beiträge: 23
- Registriert: Mi 12. Dez 2007, 19:02
- Kontaktdaten:
-
Oldperl
- Beiträge: 4316
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Hat sich bedankt: 6 Mal
- Danksagung erhalten: 4 Mal
- Kontaktdaten:
Vielleicht sollte man diese Warnung(en), denke da auch an die setup-Warnung, nach dem Einloggen anzeigen, generell ist es ja eine gute Idee so einen Hinweis zu bekommen. Nur stimme ich Timo zu das es sich dabei um eine sicherheitsrelevante Angabe handelt, die auf der Loginseite nichts verloren hat.
Gruß aus Franken
Ortwin
Gruß aus Franken
Ortwin
ConLite 3.0.0-dev, alternatives und stabiles Update von Contenido 4.8.x unter PHP 8.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
-
timo.nuros
- Beiträge: 23
- Registriert: Mi 12. Dez 2007, 19:02
- Kontaktdaten:
Richtig. Es war mal im Setup integriert, daß man ein Passwort festlegen musste, das wurde aber herausgenommen, weil die Mehrheit der Benutzer nicht damit klar kam.
Dazu habe ich eine knallharte Meinung: Wer ein CMS installieren und benutzen möchte, sollte in der Lage sein, sein Passwort, welches er beim Setup festgelegt hat, zu merken.
Dazu habe ich eine knallharte Meinung: Wer ein CMS installieren und benutzen möchte, sollte in der Lage sein, sein Passwort, welches er beim Setup festgelegt hat, zu merken.
-
holger.librenz_4fb
Hallo.
Nur hat sich eben gezeigt, das die Leute, die es installieren eben nicht diese Fähigkeit haben. Und diese Meldung finde ich durchaus richtig und wichtig. Denn nur so wird der Nutzer immer darauf hingewiesen und die Gefahr des Vergessens ist geringer als wenn es das System totschweigt.
Ja, es ist keine Ideallösung, aber immer noch besser als diesen Zustand "zu verheimlichen". Die Anzeige hat auf jeden Fall dazu geführt, das die Installationen eben von dem Standardpasswort befreit wurden. Und ganz ehrlich, ob die Information nun da steht oder nicht, wer ein Contenido kompromittieren will, wird unabhängig von dieser Meldung die Passwörter probieren.
So long.
Holger
Nur hat sich eben gezeigt, das die Leute, die es installieren eben nicht diese Fähigkeit haben. Und diese Meldung finde ich durchaus richtig und wichtig. Denn nur so wird der Nutzer immer darauf hingewiesen und die Gefahr des Vergessens ist geringer als wenn es das System totschweigt.
Ja, es ist keine Ideallösung, aber immer noch besser als diesen Zustand "zu verheimlichen". Die Anzeige hat auf jeden Fall dazu geführt, das die Installationen eben von dem Standardpasswort befreit wurden. Und ganz ehrlich, ob die Information nun da steht oder nicht, wer ein Contenido kompromittieren will, wird unabhängig von dieser Meldung die Passwörter probieren.
So long.
Holger
-
timo.nuros
- Beiträge: 23
- Registriert: Mi 12. Dez 2007, 19:02
- Kontaktdaten:
Hallo Holger,
ich verweise da nur ungern auf die folgende Google-Suche:
http://www.google.de/search?hl=de&q=Not ... uche&meta=
Hier bekomme ich sehr komfortabel einen Überblick über sämtliche "offene" Contenido-Installationen - und es werden in Zukunft sicherlich noch mehr werden. Ich hoffe, daß jetzt klar ist, worauf ich hinaus möchte.
Man kann es mit einem Auto vergleichen, in dem sich ab Werk ein defektes Türschloss befindet. Nun geht der Hersteller hin und klebt einen dicken Sticker unterhalb des Türschlosses drauf, auf dem steht: "Achtung, dieses Türschloss ist defekt", anstatt eine andere Lösung zu wählen. Finde ich sehr sehr ungeschickt.
Und sorry, wenn ich jetzt auf einem etwas niedrigeren Niveau argumentiere, aber wer zu BLÖD ist, sich das Passwort vom Setup zu merken, der DARF ein System wie Contenido einfach nicht bedienen.
Und noch eins: Wer der englischen Sprache nicht mächtig ist (immerhin ist Contenido ja ein beliebtes CMS in Deutschland), dem ist mit der Warnung nicht viel geholfen, da sie ja in Englisch ist.
Grüße,
Timo
ich verweise da nur ungern auf die folgende Google-Suche:
http://www.google.de/search?hl=de&q=Not ... uche&meta=
Hier bekomme ich sehr komfortabel einen Überblick über sämtliche "offene" Contenido-Installationen - und es werden in Zukunft sicherlich noch mehr werden. Ich hoffe, daß jetzt klar ist, worauf ich hinaus möchte.
Man kann es mit einem Auto vergleichen, in dem sich ab Werk ein defektes Türschloss befindet. Nun geht der Hersteller hin und klebt einen dicken Sticker unterhalb des Türschlosses drauf, auf dem steht: "Achtung, dieses Türschloss ist defekt", anstatt eine andere Lösung zu wählen. Finde ich sehr sehr ungeschickt.
Und sorry, wenn ich jetzt auf einem etwas niedrigeren Niveau argumentiere, aber wer zu BLÖD ist, sich das Passwort vom Setup zu merken, der DARF ein System wie Contenido einfach nicht bedienen.
Und noch eins: Wer der englischen Sprache nicht mächtig ist (immerhin ist Contenido ja ein beliebtes CMS in Deutschland), dem ist mit der Warnung nicht viel geholfen, da sie ja in Englisch ist.
Grüße,
Timo
-
wosch
Timo, Holger,timo.nuros hat geschrieben:Hallo Holger,
ich verweise da nur ungern auf die folgende Google-Suche:
es gibt noch ein paar andere Suchstrings, auch mit Meldungen das das/die ... nicht geändert wurden.
Und wenn ich anfange diese Suchstrings zu nutzen, dort die Login-Maske auszufüllen ...
Trefferquote so um die 60% - 70%
Suchen und Einloggen kann man auch über Scripte automatisieren, ohne User-Eingreifen.
Macht was ich wollt, ich habe mich einige Zeit für Sicherheit bei Contenido stark gemacht.
Meine Installationen sind sicher, interessieren tut es wohl keinen von f4b, ihr hört lieber auf Parolen-Klopfer, also warum soll ich weiter dort Zeit, Nerven, anmache, ... investieren.
Es ist euer Image, euer OpenSource (denn Ihr bestimmt was gemacht wird)
------------->
Solange wie sich nichts tut werde ich zu Sicherheitsthemen nun schweigen.
-
timo.nuros
- Beiträge: 23
- Registriert: Mi 12. Dez 2007, 19:02
- Kontaktdaten:
wosch, ich habe auch wenig Hoffnung, daß sich etwas tut. Schließlich hatte ich das zu meinen 4fb-Zeiten ja auch so argumentiert, und war relativ enttäuscht, daß man die Passwortabfrage im Setup herausgenommen hat. Das, was jetzt passiert ist, ist eine Verschlimmbesserung der Verschlimmbesserung.
Ich denke derzeit ernsthaft über einen Fork nach...
Ich denke derzeit ernsthaft über einen Fork nach...
-
Contenider
- Beiträge: 503
- Registriert: Do 6. Apr 2006, 01:40
- Kontaktdaten:
Ich kann der Argumentation nur bedingt folgen - vermutlich auch, weil die "verschlimmbesserte Lösung" von mir ist.
- Der Hinweis, dass das setup-Verzeichnis noch existiert, liest man - den erweiterten Hinweis nicht?
- Man macht eine Datenbankmigration, bei der in der Quelldatenbank noch immer die Standard-PW aktiv sind? Und man logt sich nach der Migration zu Test nicht ein? Und selbst wenn nicht, das ist dann besser (da man dann ja das PW nicht geändert haben dürfte)?
Es gibt mit Sicherheit tausende von C-Installationen vor V4.6.23, die mit den Standardpasswörtern (insbesondere für den zweiten Account) laufen - weil man es nicht bemerkt. Und diese werde derzeit ganz in Ruhe auseinandergenommen.
Die Eingabe des PW wurde aus dem Setup rausgenommen, weil im Setup leider nicht erwähnt wird, dass der "Systemadministrator" das Konto "sysadmin" hat (etwas, was ich demnächst ändern werde). In Kombination mit dem selbstdefinierten Passwort ergab das blankes Chaos - entsprechende Fragen "wie lautet der Systemadministrator" und "wie setze ich das PW zurück?" finden sich mehrfach im Forum und auch 4fb hatte die helle Freude.
Ich bin - by the way - auch dafür, die PW-Definition wieder im Setup vorzusehen (die dann auch für alle Standard-Accounts gültig ist). Ohne eine entsprechende Entscheidung von 4fb halte ich diese Warnung aber für das Beste, was dem durchschnittlichen Nutzer passieren kann (und der Profi ändert sowieso gleich die PW bzw. löscht die Standard-Accounts).
Gruß
HerrB
- Der Hinweis, dass das setup-Verzeichnis noch existiert, liest man - den erweiterten Hinweis nicht?
- Man macht eine Datenbankmigration, bei der in der Quelldatenbank noch immer die Standard-PW aktiv sind? Und man logt sich nach der Migration zu Test nicht ein? Und selbst wenn nicht, das ist dann besser (da man dann ja das PW nicht geändert haben dürfte)?
Es gibt mit Sicherheit tausende von C-Installationen vor V4.6.23, die mit den Standardpasswörtern (insbesondere für den zweiten Account) laufen - weil man es nicht bemerkt. Und diese werde derzeit ganz in Ruhe auseinandergenommen.
Die Eingabe des PW wurde aus dem Setup rausgenommen, weil im Setup leider nicht erwähnt wird, dass der "Systemadministrator" das Konto "sysadmin" hat (etwas, was ich demnächst ändern werde). In Kombination mit dem selbstdefinierten Passwort ergab das blankes Chaos - entsprechende Fragen "wie lautet der Systemadministrator" und "wie setze ich das PW zurück?" finden sich mehrfach im Forum und auch 4fb hatte die helle Freude.
Ich bin - by the way - auch dafür, die PW-Definition wieder im Setup vorzusehen (die dann auch für alle Standard-Accounts gültig ist). Ohne eine entsprechende Entscheidung von 4fb halte ich diese Warnung aber für das Beste, was dem durchschnittlichen Nutzer passieren kann (und der Profi ändert sowieso gleich die PW bzw. löscht die Standard-Accounts).
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Topic nach Bugs verschoben, 4fb fragen...
Gruß
HerrB
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
-
Contenider
- Beiträge: 503
- Registriert: Do 6. Apr 2006, 01:40
- Kontaktdaten:
Das alles würde oder sollte ordentlich und gut erklärt in eine Dokumentation stehen (wenn es sie denn gäbe), natürlich könnte ich auch meinen Thread unter http://contenido.org/forum/viewtopic.php?t=14471 anpassen, aber das wird auch schlichtweg überlesen. Wohl hat sich die "Ich habe die Suche bemüht, aber eigentlich nicht und poste deswegen mal" - weil das ja schneller geht - Mentalität etwas reduziert, grundsätzlich bringt es aber nur verhältnismäßig viel.HerrB hat geschrieben:Ich kann der Argumentation nur bedingt folgen - vermutlich auch, weil die "verschlimmbesserte Lösung" von mir ist.
- Der Hinweis, dass das setup-Verzeichnis noch existiert, liest man - den erweiterten Hinweis nicht?
- Man macht eine Datenbankmigration, bei der in der Quelldatenbank noch immer die Standard-PW aktiv sind? Und man logt sich nach der Migration zu Test nicht ein? Und selbst wenn nicht, das ist dann besser (da man dann ja das PW nicht geändert haben dürfte)?
Es gibt mit Sicherheit tausende von C-Installationen vor V4.6.23, die mit den Standardpasswörtern (insbesondere für den zweiten Account) laufen - weil man es nicht bemerkt. Und diese werde derzeit ganz in Ruhe auseinandergenommen.
Die Eingabe des PW wurde aus dem Setup rausgenommen, weil im Setup leider nicht erwähnt wird, dass der "Systemadministrator" das Konto "sysadmin" hat (etwas, was ich demnächst ändern werde). In Kombination mit dem selbstdefinierten Passwort ergab das blankes Chaos - entsprechende Fragen "wie lautet der Systemadministrator" und "wie setze ich das PW zurück?" finden sich mehrfach im Forum und auch 4fb hatte die helle Freude.
Ich werde meinen Thread morgen mal anpassen, erstmal ist 'ne Mütze voll Schlaf fällig, denn ich sehne mich schon nach meiner Koje.
Vorschläge für die Erweiterung meines Threads sind immer Willkommen! Aber berücksichtigt bzw. merkt die Geschichte mit dem Backend mal für die Doku vor.
Ειμαστε στη μεση απο κατι...
-
timo.nuros
- Beiträge: 23
- Registriert: Mi 12. Dez 2007, 19:02
- Kontaktdaten:
Also ich finde den Aufwand, den Hilfetext im Setup so anzupassen, daß es klar wird,für welchen Account man das Passwort setzt, wesentlich geringer als den Hinweis einzubauen, daß Admin oder Sysadmin ein Standardpasswort gesetzt haben.
Sorry HerrB, ich wollte dich nicht "degradieren", aber es reisst halt gerade über die Google-Suche ein riesen Sicherheitsloch auf (weil nach der Warnung eben Suchbar ist), was auf Contenido zurückfällt.
Sorry HerrB, ich wollte dich nicht "degradieren", aber es reisst halt gerade über die Google-Suche ein riesen Sicherheitsloch auf (weil nach der Warnung eben Suchbar ist), was auf Contenido zurückfällt.
-
Contenider
- Beiträge: 503
- Registriert: Do 6. Apr 2006, 01:40
- Kontaktdaten: