Seite gehackt trotz Contenido 4.6.4

Beitrag von **emergence** » Do 22. Dez 2005, 13:37

na wenn der server bei 4fb ist, ist dir ja schon geholfen...
sollte wieder ein hack erfolgen, können die jungs das wenigstens verifizieren...

rezeptionist · Beitrag von **rezeptionist** » Do 22. Dez 2005, 13:41

ja das sind wir auch, aber das vertrauen des Kunden zu Contenido ist dadurch eben etwas angekratzt, was ich aber durch eben solche Fragen wie ich sie gestellt habe wieder aufbauen will. Klar gibt es keine sicheres System aber ich möchte zumindest die möglichkeiten der Sicherheit herstellen die möglich sind.

greets

Beitrag von **emergence** » Do 22. Dez 2005, 13:44

ist schon klar...

kummer · Beitrag von **kummer** » Do 22. Dez 2005, 15:10

emergence hat geschrieben:ähm, alles recht nett und schön... wer zeit hat kann das gerne komplett umbauen und wird auch dann zum schluss kommen, dass es keine sicheren wcms gibt...

sicherheit ist kein diskreter wert. da gibts wohl einfach graduelle unterschiede. und die führen dazu, dass man häufiger oder eben weniger häufig opfer einer schad-routine wird. wenn das system so ausgelegt ist, dass auf sicherheit nur wenig wert gelegt wird, werden sich hacker-angriffe häufen. das absolut sichere system gibt es nicht; das ist schon richtig. aber es gibt absolut unsichere. und es wäre schade, wenn wir in zukunft contenido dazu zählen müssten.

ohne jemandem zu nahe treten zu wollen: es gibt dos and don'ts. und die speicherung von code in der datenbank und die anschliessende ausführung mit der eval-funktion ist ganz klar der zweiten kategorie zuzuordnen.

ich spreche im übrigen nicht davon, dass das umgehend gemacht werden müsste, sondern, dass man darauf achten könnte, wenn man in zukunft änderungen macht.

wenn inputs nicht gefragt sind, werde ich mich in zukunft zurück halten. allerdings sollte man nicht vergessen, dass es ohne feedbacks sehr schwierig ist, ein produkt gut weiterzuentwickeln. und ich bin auch der meinung, dass man im rahmen einer weiterentwicklung gewisse aspekte - und sicherheit gehört meiner meinung nach dazu - berücksichtigen sollte.

@rezeptionist:
du musst in deinem system einrichten, dass auf das verzeichnis /contenido nur über das https-protokoll (also über ssl) zugegriffen werden kann. dadurch ist immerhin sicher gestellt, dass die übertragung des passwortes, des logins sowie der session verschlüsselt erfolgt.

kummer · Beitrag von **kummer** » Do 22. Dez 2005, 15:13

ach ja, ein kleiner nachtrag noch. bei der speicherung der module in das dateisystem handelt es sich im übrigen nicht um eine gewaltige sache. anstatt, dass irgendein code mit eval() ausgeführt wird, müsste man lediglich den pfad zum modul bezeichnen und der bisherige modulcode würde durch das system automatisch erzeugt und würde nur aus einem include des pfades bestehen.

dieser hinweis ist nur dazu gedacht, vielleicht bei einem neuen release in betracht gezogen zu werden...

rezeptionist · Beitrag von **rezeptionist** » Do 22. Dez 2005, 15:36

@Kummer

Danke jetzt ist mir etwas wohler und ich habe die Antwort bekommen die ich mir gewünscht habe und schließe mich dir in Sachen Sicherheit an ,da Sicherheit im Endeffekt an Nummer 1 steht .

greets

Beitrag von **emergence** » Do 22. Dez 2005, 15:37

klingt ja so als würd ich meinungen unterdrücken...

kummer · Beitrag von **kummer** » Do 22. Dez 2005, 16:16

das habe ich nicht gesagt und auch nicht gemeint. aber der hinweis, man könne das ja programmieren wenn man lust dazu hätte, hat einen schalen nachgeschmack. neben der tatsache, dass man diesen hinweis im forum schon mindestens tausend mal lesen kann, ist er einfach auch nicht zutreffend. ich habe meine mitarbeit für teilbereiche schon des öfteren angeboten. aber aufdrängen will ich mich auch nicht (und im übrigen habe ich schon reichlich zu tun). aber an anderer stelle habe ich bereits eine umsetzung gemacht und diese auch publiziert (variablenverwaltung im modulbereich). aber dann ist nichts weiter geschehen. wenn ich also schon arbeit investiere, dann finde ich es einigermassen schade, wenn diese dann im papierkorb endet. seither halte ich mich zurück mit anpassungen für die katz. und belasse es beim hinweis.

ein system, das nicht über ssl bedient wird, das code in der datenbank speichert und die anwender zwingt, verzeichnisse zum schreiben frei zu geben wird nicht sicher werden können. wenn man nicht bereit ist, an diesen stellen einzugreifen und den code zu überarbeiten, wird man einfach patch für patch anbieten müssen. und diese arbeit wird ebenfalls viel zeit in anspruch nehmen.

Beitrag von **emergence** » Do 22. Dez 2005, 16:46

ähm
ich habe ehrlich gesagt nicht damit gerechnet jetzt in eine diskussion verwickelt zu werden die ich nicht führen möchte...
ich sags anders, ich bin der falsche ansprechpartner dafür...
(d.h jetzt nicht das mich die thematik nicht intressiert und falls es dir nicht aufgefallen ist -> ich hab dir auch nicht widersprochen)

habe selbst auch genügend andere sachen zu tun...

zur anderen sache (variablenverwaltung im modulbereich)
wenn etwas von niemanden in der community angenommen wird ist das leider pech...
es intressiert sich auch niemand für die simple cache engine...

was soll ich jetzt dazu sagen ... ja tut leid...

kummer · Beitrag von **kummer** » Do 22. Dez 2005, 16:59

dass es sich um pech handelt würde ich übrigens nicht meinen. für die problematik (sowohl caching wie auch die variablenverwaltung) werden immer wieder diskutiert. es ist durchaus nicht so, dass kein bedarf bestehen würde. die probleme in diesen bereichen treten immer wieder zu tage (es gibt z.b. immer wieder module, die nicht zusammenarbeiten wegen der überschreibung von variablen). der ursächliche zusammenhang wird halt einfach nicht immer hergestellt und das problem bleibt ungelöst. wir haben ca. folgende situation: es gibt ein problem und es gibt eine lösung. aber sie ist nicht integriert. das ist nicht einfach pech, sondern mangelhafte projektführung.

tatsächlich weiss doch gar niemand wirklich, wo bei den anwendern der schuh drückt. und wenn man davon ausgeht, dass kein problem besteht, solange man es schafft, es zu übersehen und zu überhören, solange wird es keine lösung geben.

aber ich will die diskussion an dieser stelle nicht endlos führen. schwamm drüber. und nicht persönlich nehmen. ich habe niemanden angreifen wollen.

Beitrag von **emergence** » Do 22. Dez 2005, 17:20

das als mangelhafte projektführung hinzustellen naja ist auch ne möglichkeit es so zu nennen... (ich sag halt pech dazu)

ähm, warum sollte ich das persönlich nehmen... ?

kummer · Beitrag von **kummer** » Do 22. Dez 2005, 17:25

wenn es zufall ist, ist es wohl pech. wenn nicht, dann eher nicht...

nun denn, ich wünsche auf jeden fall allen schöne festtage und einen guten rutsch ins neue jahr!

phpchris · Beitrag von **phpchris** » Do 22. Dez 2005, 17:36

Und sowas so kurz vor Weihnachten....

habt euch lieb Kinners, es gibt doch so viel mehr...

jost · Beitrag von **jost** » Do 22. Dez 2005, 17:42

Obwohl mich ein Statement seitens 4fb dazu interessieren würde. Ein Sicherheits-Feature ist was anderes als eine Artikelliste, wenn man die Aussage "Programmiere es selbst" (die ansonsten ja okay ist) bewerten will.

Beitrag von **Halchteranerin** » Do 22. Dez 2005, 18:29

kummer hat geschrieben:ein system, das nicht über ssl bedient wird

Du musst bedenken, dass nicht jeder Provider ssl anbietet. Meiner schon, aber auch nicht fuer alle Pakete. 4fb kann das also nicht pauschal einbauen und sagen, dass die anderen, die kein SSL haben, einfach Pech hatten ...