Seite gehackt trotz Contenido 4.6.4
interpretiert doch rein was ihr wollt... mich intressierts ab dem zeitpunkt nicht mehr...
*** make your own tools (wishlist :: thx)
wie gesagt bin ich der meinung, dass sich um diesen punkt jeder selber kümmern kann und muss. aber die erwartung darf dann einfach auch nicht zu hoch sein, wenn man das nicht macht.Halchteranerin hat geschrieben:Du musst bedenken, dass nicht jeder Provider ssl anbietet. Meiner schon, aber auch nicht fuer alle Pakete. 4fb kann das also nicht pauschal einbauen und sagen, dass die anderen, die kein SSL haben, einfach Pech hatten ...kummer hat geschrieben:ein system, das nicht über ssl bedient wird
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
-
mvf
- Beiträge: 1758
- Registriert: Mo 1. Aug 2005, 00:35
- Wohnort: in der schönen Hallertau, mitten im Hopfen
- Kontaktdaten:
an dieser stelle der rookie 
ich möchte nicht in die diskussion einstimmen und schon gar keine partei ergeifen, wie phpchris schon schrieb, 's ist bald weihnacht'
back 2 the prob
freuen, was man z.b. tun kann und sollte um z.b. das backend SSL zu verschlüsseln.
@kummer: wenn ich es recht verstehe andi, dann habt ihr da schon weit mehr umgesetzt als zumindest mir aus dem board bekannt, oder nach eigenem wissen möglich ist.
frage, wie kann man das backend mit ssl sichern
das dies natürlich aufwand erfordert, der so nicht direkt entlohnt wird ist klar, und ich denke, dass abgesehen von dem aufwand den 4fb mit einem sind wir mal ehrlich doch excellentem sw-piece hat und betreibt, jeder hier im board auch den input und module aus der schweiz hoch schätzt
[all die vielen anderen seinen hiermit gemeinsam bedankt ohne namentlich erwähnt zu werden ]
und da schliesst sich der bogen der community wieder. stellt man was zur verfügung und viele nutzen es dann kommen auch die programmierer des core nicht umhin dem in folgenden versionen beachtung zu schenken.
allen glückliche und frohe festtage
ich möchte nicht in die diskussion einstimmen und schon gar keine partei ergeifen, wie phpchris schon schrieb, 's ist bald weihnacht'
back 2 the prob
ich schätze deinen input sehr und pflichte dir insofern bei, dass jeder auch eigeninitiative zeigen muss/soll. da auch ich natürlich um security issues besorgt bin, wie alle hier, würde ich mich über ein kleines howto, aus der von allen sehr geschätzten kummerschmiedekummer hat geschrieben:wie gesagt bin ich der meinung, dass sich um diesen punkt jeder selber kümmern kann und muss. aber die erwartung darf dann einfach auch nicht zu hoch sein, wenn man das nicht macht.
freuen, was man z.b. tun kann und sollte um z.b. das backend SSL zu verschlüsseln.@kummer: wenn ich es recht verstehe andi, dann habt ihr da schon weit mehr umgesetzt als zumindest mir aus dem board bekannt, oder nach eigenem wissen möglich ist.
frage, wie kann man das backend mit ssl sichern
das dies natürlich aufwand erfordert, der so nicht direkt entlohnt wird ist klar, und ich denke, dass abgesehen von dem aufwand den 4fb mit einem sind wir mal ehrlich doch excellentem sw-piece hat und betreibt, jeder hier im board auch den input und module aus der schweiz
hoch schätzt[all die vielen anderen seinen hiermit gemeinsam bedankt ohne namentlich erwähnt zu werden
]und da schliesst sich der bogen der community wieder. stellt man was zur verfügung und viele nutzen es dann kommen auch die programmierer des core nicht umhin dem in folgenden versionen beachtung zu schenken.
allen glückliche und frohe festtage
Grüsse, Guido
"A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools."
Mostly Harmless - Douglas Adams
"A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools."
Mostly Harmless - Douglas Adams
Das Backend nur noch unter https zugreifbar zu machen stopft auf jeden Fall viel mit verhältnismässig kleinem Aufwand!
@4fb: vielleicht als Hinweis ins readme?
Allerdings ist auch https bzw. ssl nicht ohne: Die Apache config ist noch schnell konfiguriert, aber welches Zertifikat verwendest Du? Zahlst Du die ca. 300.- oder gleich self-signed und verteilst die CA an jeden Redaktor und Backend-user?!?
Habe das Web-Backend übrigens sehr schätzen gelernt wenn Firewalls dazwischen sind. Würde daher nicht aus Sicherheitsgründen auf FTP ausweichen. Und wenn, dann selbstverständlich auf SFTP (secure ftp) statt FTP.
Gruss
Martin
@4fb: vielleicht als Hinweis ins readme?
Allerdings ist auch https bzw. ssl nicht ohne: Die Apache config ist noch schnell konfiguriert, aber welches Zertifikat verwendest Du? Zahlst Du die ca. 300.- oder gleich self-signed und verteilst die CA an jeden Redaktor und Backend-user?!?
Habe das Web-Backend übrigens sehr schätzen gelernt wenn Firewalls dazwischen sind. Würde daher nicht aus Sicherheitsgründen auf FTP ausweichen. Und wenn, dann selbstverständlich auf SFTP (secure ftp) statt FTP.
Gruss
Martin
-
mvf
- Beiträge: 1758
- Registriert: Mo 1. Aug 2005, 00:35
- Wohnort: in der schönen Hallertau, mitten im Hopfen
- Kontaktdaten:
hallo martin,Martuno hat geschrieben: Allerdings ist auch https bzw. ssl nicht ohne: Die Apache config ist noch schnell konfiguriert, aber welches Zertifikat verwendest Du? Zahlst Du die ca. 300.- oder gleich self-signed und verteilst die CA an jeden Redaktor und Backend-user?!?
wie die halchteranerin schon schrieb hat nichtmal jeder die möglichkeit ssl zu nutzen, d'accord, und auch der preis .. etc.
aber ich, und so manch andere auch, habe ein eigenes class2 certificate, für übrigens 100,- euro/anno und würde es gerne auf einem vps auch nutzen um mein backend damit zu sichern und nicht nur für den shop
winscp nutze ich im übrigen auch schon sehr lange
EDIT:
und als nachtrag 4.6.x und SSL fürs backend
http://contenido.org/forum/viewtopic.php?t=9982
Grüsse, Guido
"A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools."
Mostly Harmless - Douglas Adams
"A common mistake that people make when trying to design something completely foolproof is to underestimate the ingenuity of complete fools."
Mostly Harmless - Douglas Adams
Ich kann Dich aufbauen: Ich interessiere mich dafür. Ich muss mir nur mal die Zeit nehmen, dass zu verstehen...emergence hat geschrieben:es intressiert sich auch niemand für die simple cache engine...
Aber es sind ja jetzt Feiertage...
Frohe Weihnachten und Guten Rutsch!
Gruß
HerrB
Bitte keine unaufgeforderten PMs oder E-Mails -> use da Forum!
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
Newsletter: V4.4.x | V4.6.0-15 (Module, Backend) | V4.6.22+
Standardartikelliste: V4.4.x | V4.6.x
http://www.contenido.org/forum/search.php | http://faq.contenido.org | http://www.communido.net
ach darum gehts ja gar nicht...
mir gehts nur irrsinnig auf die nerven, wenn jedes wort interpretiert wird, obwohl es da nichts zu interpretieren gibt... es war einfach nur dazu gedacht um wieder auf das ursprungsproblemchen -> was war der einstiegspunkt, zurück zukommen... und nicht lang und breit eine diskussion vom zaun zu brechen... -> das wäre was für das developer forum...
na wie auch immer
sollte ich wirklich nicht mehr bis zu dem termin ins forum schauen -> frohe weihnachten
mir gehts nur irrsinnig auf die nerven, wenn jedes wort interpretiert wird, obwohl es da nichts zu interpretieren gibt... es war einfach nur dazu gedacht um wieder auf das ursprungsproblemchen -> was war der einstiegspunkt, zurück zukommen... und nicht lang und breit eine diskussion vom zaun zu brechen... -> das wäre was für das developer forum...
na wie auch immer
sollte ich wirklich nicht mehr bis zu dem termin ins forum schauen -> frohe weihnachten
*** make your own tools (wishlist :: thx)
kein grund, sich aufzuregen. aber man muss zuweilen die diskussion dort führen, wo sie sich anbietet. oder man lässt es bleiben (das ist ja immerhin auch eine möglichkeit).
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
-
Beleuchtfix
- Beiträge: 1082
- Registriert: Di 22. Jul 2003, 10:14
- Wohnort: Hessen
- Kontaktdaten:
Hallo,
ssl: Ich habe z.Z das Login script über ssl laufen, indem ich eine index.html auf https://..index.php weiterleite. Nicht grandios sicher, aber meine User sind eh zu faul, den ganzen Link einzugeben. Also loggen sie sich immer über https ein. Danach bleibe ich allerdings offen.
Ich habe auch schon das komplette Backend über https laufen lassen, das gibt dann immer Probleme mit den Bilder-Links, weil die ja "normal" aufgerufen werden müssen, und IE motzt immer bei "Split Security". Vielleicht wäre es trotzdem besser. Solte ich das tun?
Gruß
Florian
und ansonsten wünsche ich allen ein frohes Weihnachtsfest
ssl: Ich habe z.Z das Login script über ssl laufen, indem ich eine index.html auf https://..index.php weiterleite. Nicht grandios sicher, aber meine User sind eh zu faul, den ganzen Link einzugeben. Also loggen sie sich immer über https ein. Danach bleibe ich allerdings offen.
Ich habe auch schon das komplette Backend über https laufen lassen, das gibt dann immer Probleme mit den Bilder-Links, weil die ja "normal" aufgerufen werden müssen, und IE motzt immer bei "Split Security". Vielleicht wäre es trotzdem besser. Solte ich das tun?
Gruß
Florian
und ansonsten wünsche ich allen ein frohes Weihnachtsfest
die bilder werden absolut referenziert?
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
-
Beleuchtfix
- Beiträge: 1082
- Registriert: Di 22. Jul 2003, 10:14
- Wohnort: Hessen
- Kontaktdaten:
aber wenn die bilder ohne protokoll und domäne referenziert werden, sollte ja der aufruf ja eigentlich immer korrekt sein.
aitsu.org :: schnell - flexibel - komfortabel :: Version 2.2.0 (since June 22, 2011) (jetzt mit dual license GPL/kommerziell)
-
Beleuchtfix
- Beiträge: 1082
- Registriert: Di 22. Jul 2003, 10:14
- Wohnort: Hessen
- Kontaktdaten:
ja die Anzeige ist auch korrekt, es kommt nur zwischendurch die Warnung " Diese Seite enhält sicher und unsichere Elemente bzw. "Sie sind im Begriff, sich Seiten über seine sicher Verbindung .....", wenn ich den WYSIWYG Editor aufrufe. (Vielleicht sollte ich mich einfach durchringen das Häkchen bei "Diese Warnung nicht mehr anzeigen" zu setzen )
Also ich habe jetzt alles auf https umgestellt.
Gruß
Florian
)Also ich habe jetzt alles auf https umgestellt.
Gruß
Florian
Re: Seite gehackt trotz Contenido 4.6.4
Vielleicht ist hier die Antwort http://contenido.org/forum/viewtopic.php?p=66712#66712risibility hat geschrieben:Also ich weiß nicht mehr weiter...
Ich habe am Dienstag (13.12.05) das Contenido 4.6.4 neu auf den Server gespielt (war auch genug Platz nachdem mir die Hacker den ganzen Server leer geräumt haben) und angefangen die Seite neu aufzubauen. Jetzt war ich heute endlich soweit, dass die Seite sogut wie wieder steht und machte ein Backup via FTP und eines der DB. Zu meinem erstaunen musste ich feststellen, das ich eine Reihe von Hackertools auf dem Server hatte.
Hallo Beleuchtfix
wie macht man das?
Würde mich interessieren, wie ich sowas realisiere?
DANKE KÄFERLI
wie macht man das?
Code: Alles auswählen
ssl: Ich habe z.Z das Login script über ssl laufen, indem ich eine index.html auf https://..index.php weiterleite...DANKE KÄFERLI