Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: Admin Bereich schützen  (Gelesen 6822 mal)

Offline bewusst

  • Mitglied
  • ***
  • Beiträge: 228
    • Teile Beitrag
Admin Bereich schützen
« am: 19. Februar 2010, 12:42:19 »
Hallo,

bis jetzt habe ich immer egal ob Joomla, oscommerce oder WP den Admin Bereich mit
einer .htpasswd gesichert oder auch das
Verzeichnis /admin/ unbenannt (/s25jhut46/  z.B.).

Frage 1:
Wenn ich bei xtmodified einen Verzeichnisschutz anlege kommt gleich das LogIn Fenster vom Apache!?!
Vorgangsweise:
Hier lege ich den Verzeichnisschutz an:
www.meine-seite.at/shop/admin  --> hier liegt die .htpasswd und .htaccess

Wenn ich dann den Shop aufrufe mit
www.meine-seite.at
kommt geleich das LogIn Fenster vom Apache kann es zwar wegklicken aber wieso kommt das
Fenster jetzt schon?

Frage 2: Wäre es Sinnvoll aus Sicherheitsgründen das Admin Verzeichnis zu renamen?
Edit: hatte es Test weise gemacht inkl. der configure.php Anpassung
hat leider nicht geklappt.

Welche Schutzmechanismen gibt es od. hat der Shop schon bereits onboard bzgl. login,
Admin-Verzeichnis?

Wäre auch gut einen Sicherheitsleitfaden ganz oben im Forum anzukleben.
Hoffe ich hab es nicht wo übersehen sonst bin ich dran :sorry:

LG
bewusst



Linkback: https://www.modified-shop.org/forum/index.php?topic=4109.0

600x250

Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.752
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Admin Bereich schützen
« Antwort #1 am: 19. Februar 2010, 12:59:56 »
Der Admin-Bereich ist durch Login-Daten geschützt, wieso willst du da noch einen htaccess Verzeichnis-Schutz haben?! :?

Grüße

Torsten


Offline bewusst

  • Mitglied
  • ***
  • Beiträge: 228
    • Teile Beitrag
Admin Bereich schützen
« Antwort #2 am: 19. Februar 2010, 13:05:26 »
Hallo Torsten,

Der Admin-Bereich ist durch Login-Daten geschützt [...]

E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
das PW könnte über "brute force" zu finden sein.

Geht die Lösung mit einer ".htpasswd" bei modified eCommerce Shopsoftware  "/admin/" nicht?

LG
bewusst


Offline web28

  • modified Team
  • *****
  • Beiträge: 9.368
    • Teile Beitrag
    • http://www.rpa-com.de
Admin Bereich schützen
« Antwort #3 am: 19. Februar 2010, 13:55:27 »
[...]
E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
das PW könnte über "brute force" zu finden sein.
[...]

Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

Ein sicheres Kennwort sollte selbstverständlich sein!

Gruss Web28


Offline bewusst

  • Mitglied
  • ***
  • Beiträge: 228
    • Teile Beitrag
Admin Bereich schützen
« Antwort #4 am: 19. Februar 2010, 14:49:52 »
Hallo,

[...]
Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de
[...]

Klingt gut!

Sowas gehört in einen Sicherheitsleitfaden. Da ihr oft oder fast immer programmiert
und so eure Erfahrungen habt, ist das natürlich Standard. Ich habe gerade etwas
dazu gelernt :thx:

LG
bewusst


Offline Lutz.H

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
Admin Bereich schützen
« Antwort #5 am: 24. Juli 2010, 08:55:27 »
Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

Ein sicheres Kennwort sollte selbstverständlich sein!

Gruss Web28

Hallo zusammen,
da ich mir auch gerne Gedanken über Sicherheit mache
und die Tage 'nen modified eCommerce Shopsoftware aktiviert habe, folgende Anmerkungen:

Richtig ist natürlich, dass die Verwendung einer anderen Email-Adresse,
die Wahrscheinlichkeit, dass Brute-Force Erfolg hat, reduziert.
Dennoch gibt es einige einfache Methoden das Risiko deutlich weiter
zu reduzieren:
  • Nach Fehlversuchen beim Einloggen einen sleep(10-20); einbauen.
    Dann kann der nächste Versuch erst nach Verzögerung erfolgen.
    Idealerweise noch 'ne E-Mail an den Admin mit der IP-Adresse des Fehlversuchs.
    Dann kann man die IP bei zu vielen Versuchen sperren.
  • Anmeldeverfahren wie im http://www.self-commerce.de/
    Hier werden erfolglose Anmeldungen in Kombination mit IP usw. mitgezählt.
    Ab dem x-ten Fehlversuch kann Anmeldung nur noch mit Captcha erfolgen.
Das sind 2 sehr einfache und wirkungsvolle Wege gegen automatisierte Angriffe.

Wie gemailt: Den ersten habe ich mir schon eingebaut.
Zumindestens eine der Varianten wäre aus meiner Sicht zur Steigerung der Sicherheit
- davon kann es nie genug geben - auch im modified eCommerce Shopsoftware sehr wünschenswert.

Ansonsten, wie hoffentlich häufig geäussert:
Respekt und vielen Dank für den gelungenen Shop

Lutz


Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.752
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Admin Bereich schützen
« Antwort #6 am: 24. Juli 2010, 20:14:52 »
Das sind gute Idee, vielleicht könnte man sich da bei Self-Commerce im Code ein wenig umschauen. ;-)

Grüße

Torsten


Offline Lutz.H

  • Neu im Forum
  • *
  • Beiträge: 2
    • Teile Beitrag
Admin Bereich schützen
« Antwort #7 am: 25. Juli 2010, 20:49:36 »
n'abend Torsten,
es geht noch einfacher: xtc Brute Force Sicherheisabfrage

Es ist keine Lizenz angeben. Anscheinend kann das Modul genutzt werden,
nur der Einbau ist als Dienstleistung kostenpflichtig

Lutz


Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.752
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Admin Bereich schützen
« Antwort #8 am: 25. Juli 2010, 20:54:21 »
Da es sich bei "3D Commerce" auch um einen xt:Commerce Fork handelt steht der Shop, genauso wie das Modul unter der GPL. ;-)

Grüße

Torsten


Offline Hetfield

  • modified Team
  • *****
  • Beiträge: 633
    • Teile Beitrag
    • MerZ IT-SerVice - Internetsolutions for eCommerce and eBusiness
Admin Bereich schützen
« Antwort #9 am: 26. Juli 2010, 08:47:01 »
Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  ;)

MfG Hetfield  8)


Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.201
  • Geschlecht: Männlich
    • Teile Beitrag
Admin Bereich schützen
« Antwort #10 am: 26. Juli 2010, 09:16:42 »
wäre es nicht auch sinnvoll, den Admin-Login und den Kunden-Login wieder zu trennen, wie es ursprünglich in OSC war ?


Offline Tomcraft

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 42.752
  • Geschlecht: Männlich
    • Teile Beitrag
    • http://www.modified-shop.org
Admin Bereich schützen
« Antwort #11 am: 26. Juli 2010, 12:53:00 »
Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  ;)

MfG Hetfield  8)

Wenn ich den erwische! :-PP

Hältst du das für eine gute Idee diese Erweiterung fest zu integrieren? Thema "Modulbomber", wobei das ansich kein Modul ist sondern nur eine Erweiterung der vorhandenen Funktionalität, von daher habe ich immer die Frage damit wohl selbst beantwortet. *gg*

Probleme gibt es mit der Erweiterung wohl auch nicht, sonst hättest du bestimmt etwas dazu geschrieben, richtig? ;-)

Grüße

Torsten


Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.201
  • Geschlecht: Männlich
    • Teile Beitrag
Admin Bereich schützen
« Antwort #12 am: 26. Juli 2010, 15:36:25 »
ich hab mir das mal eingebaut und es funktioniert soweit, ABER:

der Aufruf des VVIMG ist nicht ganz korrekt.

Code: PHP  [Auswählen]
$smarty->assign('VVIMG', '<img src="'.FILENAME_DISPLAY_VVCODES.'" alt="" />');
 
sollte durch:

Code: PHP  [Auswählen]
                $smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES).'" alt="Captcha" />');
 
ersetzt werden, sonst funktioniert die Eingabe des SIcherheitscodes bei deaktivierten Cookies nicht.

@Hetfield, danke gefällt mir und wird in meinen Shop kommen.

G.


Offline web28

  • modified Team
  • *****
  • Beiträge: 9.368
    • Teile Beitrag
    • http://www.rpa-com.de
Admin Bereich schützen
« Antwort #13 am: 26. Juli 2010, 15:59:57 »
Mit "xtc_href_link" gibt es aber Probleme mit SSL, deshalb haben wir das geändert.


Offline GTB

  • modified Team
  • *****
  • Gravatar
  • Beiträge: 5.201
  • Geschlecht: Männlich
    • Teile Beitrag
Admin Bereich schützen
« Antwort #14 am: 27. Juli 2010, 08:15:48 »
ok, hast Recht, aber so gibt es keine Probleme:

Code: PHP  [Auswählen]
$smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES, '', 'SSL').'" alt="Captcha" />');
 

Händlerbund_728x90_animiert

Teile per facebook Teile per linkedin Teile per twitter

xx
admin/start.php im Admin-Bereich verbessern und logischer aufbauen

Begonnen von speedy am Admin- und Shopbereich

3 Antworten
2074 Aufrufe
Letzter Beitrag 17. August 2012, 11:12:11
von cooler
xx
Admin Bereich anpassen

Begonnen von frankbackes am Bastelecke

4 Antworten
1092 Aufrufe
Letzter Beitrag 26. Oktober 2013, 03:07:37
von frankbackes
xx
Sprachen im Admin-Bereich

Begonnen von ShopNix am Admin- und Shopbereich

2 Antworten
805 Aufrufe
Letzter Beitrag 03. Oktober 2013, 10:33:43
von web28
xx
Admin Bereich ist futsch

Begonnen von chrissie am Admin- und Shopbereich

20 Antworten
2893 Aufrufe
Letzter Beitrag 01. August 2010, 14:43:20
von Tomcraft
 


             
anything