Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
    Spenden
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:
    Spenden
  • Thema: Adminzugang - öffentlich erreichbar - Sicherheitsleck?

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.502
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #15 am: 10. Januar 2020, 09:18:44
    Ab Shopversion 2.0.5.0 haben wir deshalb die Sessioneinstellung "Session Cookie forcieren" auf True/Ja stehen.
    Damit wird keine Session ID in der URL stehen.

    Gruss Gerhard

    FräuleinGarn

    • Fördermitglied
    • Beiträge: 4.152
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #16 am: 10. Januar 2020, 11:16:19
    Danke für den Hinweis und Umbenennung der Beschreibung des Schalters im Backend. Vorher wusste man als Normalnutzer überhaupt nichts mit der Funktion anzufangen. Dann sollte es damit ja gar nicht mehr möglich sein, dass Admins oder auch Kunden eine modsid an ihre Links anhängen. Bei Kunden ist das nämlich auch blöd, wenn Google dem Link folgt und merkt, dass es den Link so gar nicht mehr gibt.

    Kann das "Session Cookie forcieren" auf True/Ja stellen irgendwo ungewollte Effekte erzeugen, die man beachten/testen sollte?

    Gruß Timm

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #17 am: 10. Januar 2020, 13:19:38
    @FräuleinGarn
    Zu deiner letzten Frage:
    Ja kann es. Das ist ein altes Thema.
    Wenn ein Besucher Cookies im Browser deaktiviert hat kann er nichts mehr in den Warenkorb legen und somit auch nichts bestellen.
    Was ich gerade nicht weiß ist, ob es dann eine entsprechende Meldung im Shop für den Kunden gibt, daß er Cookies (nicht von Drittanbietern) akzeptieren muß wenn er etwas bestellen möchte. Habe es nicht getestet.

    Ab Shopversion 2.0.5.0 haben wir deshalb die Sessioneinstellung "Session Cookie forcieren" auf True/Ja stehen.
    Damit wird keine Session ID in der URL stehen.
    ...

    • sollte das Shop-Betreibern auf geeignetem Wege  mitgeteilt werden
      und
    • ist dem nicht so wenn man lediglich von z.B. 2.0.4.2 updatet.

    Deine Aussage ist also sehr lapidar und undifferenziert nicht korrekt.

    @Alle
    Seit es die Möglichkeit gibt das Admin-Verzeichnis frei zu benennen, was man auch tun  sollte, sowie es das Token-System im Backend gibt, welches man nicht deaktivieren sollte, ist CSRF eigtl. so gut wie unmöglich *.
    Man sollte also beides beherzigen. (Vor allem aber auch nicht blind Links in E-Mails vertrauen, aber das gilt ja immer, vor allem auch für Online-Banking-User.)

    Ich hasse diese lapidaren Aussagen auf die man hier im Forum immer wider trifft.
    So ist das süffisante Verlinken in einem Post dieses Threads seitens HHGAG, weil kommentarlos, nicht zielführend und verunsichert lediglich User.
    Muß das sein ?

    Gruß,
    noRiddle

    *
    unmöglich weil für gefakte
    GET-Requests der Name des Admin-Verzeichnises bekannt sein müsste
    und
    POST-Requests das Token-System schützt

    Tante Uschi

    • Fördermitglied
    • Beiträge: 164
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #18 am: 10. Januar 2020, 13:56:06
    @noRiddle

    ja es wird eine Meldung ausgegeben:

    "Verwendung von Cookies
    Ihr Browser erlaubt keine Cookies.

    Damit Sie Ihren Einkauf fortsetzen können, sollten Sie es dieser Seite erlauben, Cookies zu setzen.

    Für den Internet Explorer gehen Sie dazu bitte folgendermassen vor:

    Im Menü Extras wählen Sie Internetoptionen
    Dort klicken Sie auf Sicherheitsstufe anpassen
    Im unteren Bereich findet sich eine Drop-Down-Box, in der Sie Mittel auswählen.
    Klicken Sie nun auf Zurücksetzen
    Diese Maßnahme dient Ihrer Sicherheit. Sollten dadurch Probleme enstehen, bitten wir um Entschuldigung. Bitte setzen Sie sich mit uns in Verbindung, wenn Sie Fragen dazu haben.

    Cookies und Privatsphäre
    Durch den Einsatz von Cookies wird die Sicherheit verbessert und Ihre Privatsphäre besser geschützt.

    Im Cookie sind keine persönlichen Daten enthalten."


    PS.: Danke für Deine Ausführung, das hilft mir weiter !

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #19 am: 10. Januar 2020, 14:23:18
    Ah, okay.
    Du zitierst aber noch den Text aus 2.0.4.2 .
    In der 2.0.5.0 ist der Text viel besser und erklärt die Einstellungen für die gängigen Browser Firefox, Chrome, Opera, IE.
    Also alles gut.

    Noch ein paar Tipps wenn man "Session Cookie forcieren"  nicht auf 'Ja' stellen möchte, aber auch generell.
    Wenn Mitarbeiter vorhanden sind, zwingend alle Admins briefen über die Sicherheitsvorkehrungen und daruf drängen, daß sie eingehalten werden.
    Manche sind vom Token-System genervt und schalten es aus, weil sie damit nicht umgehen können (z.B. weil sie irgendwas in zwei geöffneten Backend-Tabs herumkopieren wollen). Wenn das  Token-System deaktiviert wurde sollten sie aber niemals im selben Browser herumsurfen.
    (Ich würde übrigens empfehlen die Admin- und Session-Einstellungen (also Admin-Rechte configuration) nicht für Mitarbeiter-Admins freizugeben, sondern lediglich für den Super-Admin, welcher ja meist der Chef, der Shop-Betreiber, sein dürfte).

    Die Session-Dauer (Erw. Konfiguration => Sessions => "Session Lebenszeit Kunden") für Kunden nicht zu hoch setzen. Das minimiert die Gefahr, daß ein versehentlich irgendwo geposteter oder anderweitig weitergegebener Link mit einer Session-ID noch Gültigkeit hat.
    Außerdem "Session erneuern" auf 'Ja' setzen.

    Gruß,
    noRiddle

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.502
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #20 am: 10. Januar 2020, 15:01:30
    Unsere Empfehlung ist ganz klar die Option "Session Cookie forcieren" auf Ja stellen. Auch wenn keine gültige Adminsession gepostet wird, gibt es unschöne Nebeneffekte, wie zB. dass man plötzlich andere Kundendaten sieht oder der Warenkorb verschwindet, etc, da sich plötzlich mehrere Kunden 1 Session teilen.

    Gruss Gerhard

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #21 am: 10. Januar 2020, 16:13:10
    Wie das ?, doch auch nur dann, wenn URLs mit Session-ID bekannt werden und die betroffenen User noch eingeloggt sind.
    Wenn Erw. Konfiguration => Sessions => "Session Lebenszeit Kunden" auf 24 min. bleibt, wie per Default eingestellt, und "Session erneuern" auf 'Ja' steht, ist das doch sehr sehr unwahrscheinlich.

    Natürlich will ich eure Empfehlungen nicht aushebeln.
    Meine Empfehlungen sind ja auch hauptsächlich für den Fall wenn man "Session Cookie forcieren" nicht auf 'Ja' stellen möchte.
    Eigtl. kann man auch davon ausgehen, daß jemand der Cookies im Browser deaktiviert hat etwas mehr Insight hat als ein normaler unbedarfter User und erstgenannter somit auch die von Tante Uschi zitierte Meldung versteht. Von daher ist eure Empfehlung zu unterstützen.

    Gruß,
    noRiddle

    FräuleinGarn

    • Fördermitglied
    • Beiträge: 4.152
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #22 am: 10. Januar 2020, 16:15:40
    Zumal derjenige der Cookies nicht erlaubt darum wissen wird, dass er in keinem Shop so einkaufen kann.

    Deshalb fänd ich das gar nicht schlimm das auf ja zu stellen, wenn es der Sicherheit dient.

    Die Anzahl derer die Cookies aushaben wird gering sein. Der mögliche Ärger wenn der Shop gehackt wurde aber immens.

    Gruß Timm

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.502
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #23 am: 10. Januar 2020, 16:18:32
    Szenario:
    du postest einen Link mit einer Session ID in den sozialen Medien.

    Nun kommen alle paar Minuten Kunden mit diesem Link auf den Shop. Somit haben diese Kunden zuerst mal alle die gleiche Session ID. Nachdem es immer wieder Aufrufe mit dieser ID gibt, läuft diese auch nicht ab.

    Als Gast wird dann der Warenkorb gefüllt, bevor eine Registrierung/Login erfolgt.

    Dadurch gibt es diese Sezenarien wie vorhin beschrieben.

    Gruss Gerhard

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #24 am: 10. Januar 2020, 16:59:15
    Jau, verstehe.
    Könnte man aber ja zusätzlich abfangen indem man $_SERVER['REMOTE_ADDR'] und $_SERVER['HTTP_USER_AGENT'] in die Session speichert (wenn nicht schon geschehen) und bei gesetztem $_GET[session_name()] prüft ob die genannten $_SERVER-Parameter mit den genannten $_SESSION-Parametern übereinstimmen, und wenn nicht => xtc_session_recreate() . Das könnte man schön in /includes/modules/verify_session.php einbauen.
    Ich weiß, daß beide genannten $_SERVER-Parameter fake-bar sind, aber die richtigen dann zu treffen als Hacker ist so gut wie unmöglich.
    Was ich allerdings mom. nicht weiß ist ob es noch ISPs gibt wo die IP-Adresse ständig wechselt. Dann nämlich wäre die Prüfung auf $_SERVER['REMOTE_ADDR'] kontraproduktiv.
    *EDIT* Naja, mit den ganzen mobile Usern nowadays ist das mit $_SERVER['REMOTE_ADDR'] doch nicht so schlau... :hust: *END_EDIT*

    Gruß,
    noRiddle

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.502
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #25 am: 10. Januar 2020, 17:11:20
    Wenn du im ICE sitzt und mit dem Smartphone unterwegs bist, kann es dir passieren, dass du bei jedem 3ten Seitenaufruf eine neue IP Adresse hast, da sich diese mit dem Funkmasten in dem man eingeloggt ist zusammenhängt.

    Und es ist ein probates Mittel bei Szenarien wie beschrieben, dies nachträglich zu machen, denn das Verwenden der Session ID aus der URL nur gemacht wird, wenn "Session Cookie forcieren" auf nein steht. Zumindest ab Version 2.0.5.0.

    Gruss Gerhard

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #26 am: 10. Januar 2020, 17:54:49
    Habe auch mal so etwas in der Art gesehen:
    Code: PHP  [Auswählen]
    $user_finger_print_arr = array($_SERVER[‘HTTP_USER_AGENT’], substr($_SERVER[“REMOTE_ADDR”], 0, 7));
    $user_finger_print= md5(serialize($user_finger_print_arr));
    $_SESSION['user_finger_print '} = $user_finger_print;

    Wenn nicht $_SESSION['user_finger_print'} == $user_finger_print => xtc_session_recreate().
    Damit könnte man die IP-Wechsel im von dir beschriebenen mobile Bereich evtl. abfangen.

    Das alles natürlich immer nur für den Fall, daß "Session Cookie forcieren" nicht auf 'Ja' steht.

    Gruß,
    noRiddle

    GTB

    • modified Team
    • Gravatar
    • Beiträge: 5.502
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #27 am: 10. Januar 2020, 18:56:50
    das basiert ja wieder auf der IP Adresse. Damit wird wieder ein Session Recreate gemacht, sobald sich die IP ändert.
    Ob da zusätzlich der UserAgent mit im Hash ist oder nicht, ist dann doch egal.

    Gruss Gerhard

    noRiddle (revilonetz)

    • Experte
    • Beiträge: 10.787
    • Geschlecht:
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #28 am: 10. Januar 2020, 18:59:23
    Ja, IP, aber auf die ersten 7 Stellen gekürzt.
    Auch von Sendemast zu Sendemast dürften die sich nicht ändern, müsste man natürlich genau prüfen.

    Voresrt: : Have a nice weekend

    Gruß,
    noRiddle

    HHGAG

    • Frisch an Board
    • Beiträge: 61
    Re: Adminzugang - öffentlich erreichbar - Sicherheitsleck?
    Antwort #29 am: 15. Februar 2020, 11:33:25
    @Alle
    Seit es die Möglichkeit gibt das Admin-Verzeichnis frei zu benennen, was man auch tun  sollte, sowie es das Token-System im Backend gibt, welches man nicht deaktivieren sollte, ist CSRF eigtl. so gut wie unmöglich *.
    Man sollte also beides beherzigen. (Vor allem aber auch nicht blind Links in E-Mails vertrauen, aber das gilt ja immer, vor allem auch für Online-Banking-User.)
    Es handelt sich dabei nicht um ein CSRF, sondern um z.B. einen Googlebot, der ganz normal seine Session erhält, seien Berechtigungen erhält und auch im Admin wie ein Admin jeden Link durchklickt.

    Ich hasse diese lapidaren Aussagen auf die man hier im Forum immer wider trifft.
    So ist das süffisante Verlinken in einem Post dieses Threads seitens HHGAG, weil kommentarlos, nicht zielführend und verunsichert lediglich User.
    Muß das sein ?
    Die Lösung zum Problem habe ich damals in einem anderen Forum bereits mitgeteilt, wenn es also nicht gefixt ist kann ich nichts dafür. Natürlich werden die Themen aufgegraben, wenn sie nicht gefixt werden.

    P.S.: DIE SESSION ID IST IN DEM AUGENBLICK
    Zitat
    templates
    3 Antworten
    307 Aufrufe
    22. Juni 2020, 16:23:30 von noRiddle (revilonetz)
    5 Antworten
    1801 Aufrufe
    04. März 2013, 12:30:59 von Romanski
    11 Antworten
    4162 Aufrufe
    23. März 2010, 17:33:37 von Tomcraft
    3 Antworten
    2080 Aufrufe
    11. Januar 2015, 05:32:47 von peter111