Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: Admin Bereich schützen

    bewusst

    • Mitglied
    • Beiträge: 228
    Admin Bereich schützen
    am: 19. Februar 2010, 12:42:19
    Hallo,

    bis jetzt habe ich immer egal ob Joomla, oscommerce oder WP den Admin Bereich mit
    einer .htpasswd gesichert oder auch das
    Verzeichnis /admin/ unbenannt (/s25jhut46/  z.B.).

    Frage 1:
    Wenn ich bei xtmodified einen Verzeichnisschutz anlege kommt gleich das LogIn Fenster vom Apache!?!
    Vorgangsweise:
    Hier lege ich den Verzeichnisschutz an:
    www.meine-seite.at/shop/admin  --> hier liegt die .htpasswd und .htaccess

    Wenn ich dann den Shop aufrufe mit
    www.meine-seite.at
    kommt geleich das LogIn Fenster vom Apache kann es zwar wegklicken aber wieso kommt das
    Fenster jetzt schon?

    Frage 2: Wäre es Sinnvoll aus Sicherheitsgründen das Admin Verzeichnis zu renamen?
    Edit: hatte es Test weise gemacht inkl. der configure.php Anpassung
    hat leider nicht geklappt.

    Welche Schutzmechanismen gibt es od. hat der Shop schon bereits onboard bzgl. login,
    Admin-Verzeichnis?

    Wäre auch gut einen Sicherheitsleitfaden ganz oben im Forum anzukleben.
    Hoffe ich hab es nicht wo übersehen sonst bin ich dran :sorry:

    LG
    bewusst



    Linkback: https://www.modified-shop.org/forum/index.php?topic=4109.0

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 43.985
    • Geschlecht:
    Admin Bereich schützen
    Antwort #1 am: 19. Februar 2010, 12:59:56
    Der Admin-Bereich ist durch Login-Daten geschützt, wieso willst du da noch einen htaccess Verzeichnis-Schutz haben?! :?

    Grüße

    Torsten

    bewusst

    • Mitglied
    • Beiträge: 228
    Admin Bereich schützen
    Antwort #2 am: 19. Februar 2010, 13:05:26
    Hallo Torsten,

    Der Admin-Bereich ist durch Login-Daten geschützt [...]

    E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
    das PW könnte über "brute force" zu finden sein.

    Geht die Lösung mit einer ".htpasswd" bei modified eCommerce Shopsoftware  "/admin/" nicht?

    LG
    bewusst

    web28

    • modified Team
    • Beiträge: 9.404
    Admin Bereich schützen
    Antwort #3 am: 19. Februar 2010, 13:55:27
    [...]
    E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
    das PW könnte über "brute force" zu finden sein.
    [...]

    Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

    Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

    Ein sicheres Kennwort sollte selbstverständlich sein!

    Gruss Web28

    bewusst

    • Mitglied
    • Beiträge: 228
    Admin Bereich schützen
    Antwort #4 am: 19. Februar 2010, 14:49:52
    Hallo,

    [...]
    Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de
    [...]

    Klingt gut!

    Sowas gehört in einen Sicherheitsleitfaden. Da ihr oft oder fast immer programmiert
    und so eure Erfahrungen habt, ist das natürlich Standard. Ich habe gerade etwas
    dazu gelernt :thx:

    LG
    bewusst

    Lutz.H

    • Neu im Forum
    • Beiträge: 2
    Admin Bereich schützen
    Antwort #5 am: 24. Juli 2010, 08:55:27
    Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

    Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

    Ein sicheres Kennwort sollte selbstverständlich sein!

    Gruss Web28

    Hallo zusammen,
    da ich mir auch gerne Gedanken über Sicherheit mache
    und die Tage 'nen modified eCommerce Shopsoftware aktiviert habe, folgende Anmerkungen:

    Richtig ist natürlich, dass die Verwendung einer anderen Email-Adresse,
    die Wahrscheinlichkeit, dass Brute-Force Erfolg hat, reduziert.
    Dennoch gibt es einige einfache Methoden das Risiko deutlich weiter
    zu reduzieren:
    • Nach Fehlversuchen beim Einloggen einen sleep(10-20); einbauen.
      Dann kann der nächste Versuch erst nach Verzögerung erfolgen.
      Idealerweise noch 'ne E-Mail an den Admin mit der IP-Adresse des Fehlversuchs.
      Dann kann man die IP bei zu vielen Versuchen sperren.
    • Anmeldeverfahren wie im http://www.self-commerce.de/
      Hier werden erfolglose Anmeldungen in Kombination mit IP usw. mitgezählt.
      Ab dem x-ten Fehlversuch kann Anmeldung nur noch mit Captcha erfolgen.
    Das sind 2 sehr einfache und wirkungsvolle Wege gegen automatisierte Angriffe.

    Wie gemailt: Den ersten habe ich mir schon eingebaut.
    Zumindestens eine der Varianten wäre aus meiner Sicht zur Steigerung der Sicherheit
    - davon kann es nie genug geben - auch im modified eCommerce Shopsoftware sehr wünschenswert.

    Ansonsten, wie hoffentlich häufig geäussert:
    Respekt und vielen Dank für den gelungenen Shop

    Lutz

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 43.985
    • Geschlecht:
    Admin Bereich schützen
    Antwort #6 am: 24. Juli 2010, 20:14:52
    Das sind gute Idee, vielleicht könnte man sich da bei Self-Commerce im Code ein wenig umschauen. ;-)

    Grüße

    Torsten

    Lutz.H

    • Neu im Forum
    • Beiträge: 2
    Admin Bereich schützen
    Antwort #7 am: 25. Juli 2010, 20:49:36
    n'abend Torsten,
    es geht noch einfacher: xtc Brute Force Sicherheisabfrage

    Es ist keine Lizenz angeben. Anscheinend kann das Modul genutzt werden,
    nur der Einbau ist als Dienstleistung kostenpflichtig

    Lutz

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 43.985
    • Geschlecht:
    Admin Bereich schützen
    Antwort #8 am: 25. Juli 2010, 20:54:21
    Da es sich bei "3D Commerce" auch um einen xt:Commerce Fork handelt steht der Shop, genauso wie das Modul unter der GPL. ;-)

    Grüße

    Torsten

    Hetfield

    • modified Team
    • Beiträge: 751
    Admin Bereich schützen
    Antwort #9 am: 26. Juli 2010, 08:47:01
    Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  ;)

    MfG Hetfield  8)

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.396
    • Geschlecht:
    Admin Bereich schützen
    Antwort #10 am: 26. Juli 2010, 09:16:42
    wäre es nicht auch sinnvoll, den Admin-Login und den Kunden-Login wieder zu trennen, wie es ursprünglich in OSC war ?

    Tomcraft

    • modified Team
    • Gravatar
    • Beiträge: 43.985
    • Geschlecht:
    Admin Bereich schützen
    Antwort #11 am: 26. Juli 2010, 12:53:00
    Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  ;)

    MfG Hetfield  8)

    Wenn ich den erwische! :-PP

    Hältst du das für eine gute Idee diese Erweiterung fest zu integrieren? Thema "Modulbomber", wobei das ansich kein Modul ist sondern nur eine Erweiterung der vorhandenen Funktionalität, von daher habe ich immer die Frage damit wohl selbst beantwortet. *gg*

    Probleme gibt es mit der Erweiterung wohl auch nicht, sonst hättest du bestimmt etwas dazu geschrieben, richtig? ;-)

    Grüße

    Torsten

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.396
    • Geschlecht:
    Admin Bereich schützen
    Antwort #12 am: 26. Juli 2010, 15:36:25
    ich hab mir das mal eingebaut und es funktioniert soweit, ABER:

    der Aufruf des VVIMG ist nicht ganz korrekt.

    Code: PHP  [Auswählen]
    $smarty->assign('VVIMG', '<img src="'.FILENAME_DISPLAY_VVCODES.'" alt="" />');
     
    sollte durch:

    Code: PHP  [Auswählen]
                    $smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES).'" alt="Captcha" />');
     
    ersetzt werden, sonst funktioniert die Eingabe des SIcherheitscodes bei deaktivierten Cookies nicht.

    @Hetfield, danke gefällt mir und wird in meinen Shop kommen.

    G.

    web28

    • modified Team
    • Beiträge: 9.404
    Admin Bereich schützen
    Antwort #13 am: 26. Juli 2010, 15:59:57
    Mit "xtc_href_link" gibt es aber Probleme mit SSL, deshalb haben wir das geändert.

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.396
    • Geschlecht:
    Admin Bereich schützen
    Antwort #14 am: 27. Juli 2010, 08:15:48
    ok, hast Recht, aber so gibt es keine Probleme:

    Code: PHP  [Auswählen]
    $smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES, '', 'SSL').'" alt="Captcha" />');
     
    4 Antworten
    2381 Aufrufe
    11. September 2012, 10:52:02 von frankhh
    5 Antworten
    2390 Aufrufe
    12. Januar 2010, 11:12:38 von Tomcraft
    20 Antworten
    4764 Aufrufe
    01. August 2010, 14:43:20 von Tomcraft