Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: Sicher ist sicher oder sicherer als htaccess

    OM-D

    • Neu im Forum
    • Beiträge: 40
    Sicher ist sicher oder sicherer als htaccess
    am: 09. Februar 2015, 11:51:42
    Es geht uns darum das Backend (den Adminbereich) und den Zugriff auf die mysql mittels phpmyadmin oder ähnlichen Tools möglichst optimal abzusichern.
    Die Absicherung des Admin-Verzeichnisses mittels htaccess in Verbindung mit einer Sperrung der IP nach dreimaliger Falscheingabe sollte relativ sicher sein.
    Wir überlegen derzeit, ob so etwas wie die Authentifizierung mit dem Google Authenticator oder ähnliches nicht noch eine Stufe oder gar zwei Stufen sicherer ist.
    Die Frage ist - bevor wir nun jemanden beauftragen etwas in dieser Richtung umzusetzen - ob das wirklich so viel sicherer ist, so dass sich der Aufwand rechnet oder ob auch das mit den entsprechenden kriminellen Energie in wenigen Stunden ausgehebelt ist..

    Linkback: https://www.modified-shop.org/forum/index.php?topic=32226.0

    webald

    • modified Team
    • Beiträge: 2.713
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #1 am: 09. Februar 2015, 12:06:14
    Ich verstehe es vieleicht nicht, aber was hat der admin-Bereich mit mysql zu tun und wie wiles Du mysql mit dem google Autehnticator absichern?

    Wenn Du die Zugriffe vom Shop auf die Datenbank einschränken willst, dann geht das, indem man einen zweiten Datenbank-User anlegt, der nur die notwendigsten Rechte zum Betrieb des Shop-Frontendes hat:

    Kein Tabellen/Spalten erstellen/löschen
    Nur Lesezugriff auf bestimmte Tabellen, wie z. b. configuration oder admin_access
    Kein Löschen für die meisten Tabellen
    Kein Hinzufügen in bestimmten Tabellen

    Diesen User dann in shoproot/includes/configure.php eintragen. In shoproot/admin/includes/configure.php bleibt der User mit allen Rechnten als Admin drin, sonst wird es mit dem ändern schwer oder Du erstellt auch hier einen speziellen Admin-User, aber mit mehr Rechten als für das Frontnend, denn auch der Admin-User im Backend hat im Standard mehr Rechte als er benötigt.

    Was die zusätzliche Authentifizierung anbelangt, könnte man evtl. auf Version 2.0 warte, da zumindest im Quellcode-Journal mals was von einem neuen Tokensystem stand. Ob das mit der neuen Version kommen wird, kann aber nur das Team beantworten.

    p3e

    • Experte
    • Beiträge: 2.203
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #2 am: 09. Februar 2015, 13:04:14
    @webald: Da hast Du etwas überlesen. Er schreibt, dass er den Adminbereich UND phpmyadmin und ähnliche Tools absichern will. Er behauptet nicht, dass das zusammenhängt.

    Ich denke eigentlich, dass htaccess schon sehr sicher ist, kenne mich mit dem Google Authenticator aber auch nicht wirklich aus.

    webald

    • modified Team
    • Beiträge: 2.713
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #3 am: 09. Februar 2015, 13:21:17
    Ich lese das anders: er will den admin-Bereich und mysql MIT phpmyadmin oder ähnlich absichern.

    Aber dazu hatte ich ja schon geschrieben. In einem anderen Thread hatte ich auch schon mal darauf hingewiesen, dass die SQL-Serverzugriffe eigentlich immer mit maximalen Rechten erfolgen.

    Was ich aber beim nochmal lesen des Ursprungposts gesehen habe:
    .. in Verbindung mit einer Sperrung der IP nach dreimaliger Falscheingabe sollte relativ sicher sein.
    Da kann ich nur sagen, das ist lachhaft. Neue IP-Adressen sind für einen Hacker kein Problem und schon ist der Anmeldeschutz dahin. Andersherum wird ein Schuh draus: Nur bestimmte IP für admin zulassen.

    OM-D

    • Neu im Forum
    • Beiträge: 40
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #4 am: 09. Februar 2015, 14:06:02
    p3e sieht es schon richtig, es sollten alle sicherheitsrelevanten Verzeichnisse geschützt werden, also das Backend und die mysql-tools.

    Danke für die Antworten!
    Feste IPs ist also das einzig halbwegs sichere.

    p3e

    • Experte
    • Beiträge: 2.203
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #5 am: 09. Februar 2015, 14:07:49
    Gut, kann man auch anders lesen, ergibt dann aber keinen Sinn mehr. Ich denke wirklich nicht, dass OM-D den Adminbereich versucht durch den Einsatz von phpmyadmin zu schützen.  :lol1:
    Geh mal davon aus, dass er es so meint, wie ich es auch gelesen habe.

    EDIT: Sehe gerade, dass er es jetzt auch bestätigt hat.

    webald

    • modified Team
    • Beiträge: 2.713
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #6 am: 09. Februar 2015, 14:15:38
    Dann habe ich das wohl teilweise falsch verstanden. Aber ganz einfach, was nicht da ist braucht nicht abgesichert werden. Wenn Du mit SQL umgehen kannst, dann reicht dir eine Komandozeile oder ein einzelnes Formular zur Eingabe der SQL-Query und Du kannst auf phpmyadmin verzichten.

    Bonsai

    • Viel Schreiber
    • Beiträge: 4.147
    • Geschlecht:
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #7 am: 09. Februar 2015, 16:49:20
    Andersherum wird ein Schuh draus: Nur bestimmte IP für admin zulassen.
    :thumbs: Ich komme nur vom Büro aus in den Admin Bereich. Wenn ich mal von außerhalb was machen will, muss ich halt Remote ins Büro und von da in den Shop. Es ist genau EINE IP Adresse die in den Adminbereich darf.

    Matt

    • Experte
    • Beiträge: 4.241
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #8 am: 09. Februar 2015, 19:54:24
    Die Anzahl derer, die hier über feste IPs verfügen um das zu implementieren, dürfte verschwindend gering sein.

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.679
    • Geschlecht:
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #9 am: 10. Februar 2015, 21:49:18
    Man kann's auch übertreiben.
    Der Admin-Bereich ist bereits mittels Passwort geschützt.
    Ein zusätzlicher htaccess-Schutz und ggfls. eine Fremden unbekannte Umbenennung des Ordners /admin (kommt in der 2.0, ist in der aktuellen 1.06 nur mit Aufwand zu realisieren) dürfte
    - neben der Empfehlung mit dem Browser mit welchem man in den Shop eingeloggt ist nicht gleichzeitig im I-net zu surfen -
    ausreichend sein.

    Gruß,
    noRiddle

    piru

    • Fördermitglied
    • Beiträge: 1.263
    • Geschlecht:
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #10 am: 19. Februar 2015, 14:06:35
    Ein zusätzlicher htaccess-Schutz

    Hallo,

    ich habe versucht das zu machen. Das Problem ist, dass die Bilder für die Lieferzeit in der Tabelle shipping_status.shipping_status_image werden in dem Ordner /admin/images/icons gespeichert.
    Dann wenn ich im Frontend, egal auf welche Seite bin wo Produkte sind ich die Seite aktualisiere, wird eine Authentifizierung erforderlich.

    Wo müsste den path für die Bilder auf zB templates/xtc5/img geändert werden?

    Gruß piru

    p3e

    • Experte
    • Beiträge: 2.203
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #11 am: 19. Februar 2015, 14:48:26
    Kopier dir den kompletten Image-Ordner in das Frontend und leite per htaccess /admin/images/ nach /images/ um.
    Das sollte dann eigentlich am htaccess-Schutz vorbei gehen. Habe es aber nicht getestet.

    piru

    • Fördermitglied
    • Beiträge: 1.263
    • Geschlecht:
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #12 am: 19. Februar 2015, 15:44:21
    leite per htaccess /admin/images/ nach /images/ um.

    ich weiß nich wie...  :oops:

    Alfred

    • Experte
    • Beiträge: 2.117
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #13 am: 19. Februar 2015, 22:32:01
    Macht es doch nicht so kompliziert.
    Sperrt /admin komplett.
    Gebt den speziellen Bilderordner frei.

    Das geht beides per .htaccess

    piru

    • Fördermitglied
    • Beiträge: 1.263
    • Geschlecht:
    Re: Sicher ist sicher oder sicherer als htaccess
    Antwort #14 am: 20. Februar 2015, 09:08:30
    @Alfred, ja, das ist viel einfacher, danke.

    Wie gebe den Ordner frei?

    Mein .htaccess sieht so aus:

    Code: XML  [Auswählen]
    AuthType Basic
    AuthName "Restricted Directory"
    AuthUserFile  "/kunden/homepages/xx/xxxxxxxx/htdocs/shoptest/.htpasswd"
    require valid-user

    Gruß piru
    Marktplatz - Eine große Auswahl an neuen und hilfreichen Modulen sowie modernen Templates für die modified eCommerce Shopsoftware
    6 Antworten
    3069 Aufrufe
    26. Juni 2012, 21:30:11 von Tomcraft
    14 Antworten
    6620 Aufrufe
    07. März 2015, 18:38:49 von spiegelid
    10 Antworten
    4549 Aufrufe
    09. März 2012, 09:07:56 von linnenan
    anything