Adminzugang - öffentlich erreichbar - Sicherheitsleck?

[noRiddle (revilonetz)]

Deine erste und deine letzte Aussage verstehe ich nicht.
Zur zweiten Aussage:
Mir geht es lediglich darum, daß man nicht mittels kommentarlosem Verlinken auf Threads in denen vermeintliche oder echte Bugs diskutiert werden, User verunsichern sollte.
Wenn Ihr alle zu faul seid mal einen Satz mehr zu schreiben um verstanden zu werden lasst es doch besser ganz.

Gruß,
noRiddle

[Timm]

@noRiddle
Ich vermute, dass die erste Aussage bedeutet, dass Google einem versehentlich gesetzten Link mit admin Session id folgt und sich dann durchs Backend des Shops klicken kann.

@HHGAG
Wie zielführend ist es eine Lösung in einem anderem Forum zu posten und dann hier nicht wenigstens darauf zu verlinken? Wie soll das jemand aus diesem Forum dann wissen?

@all
Wird ein umbenanntes Adminverzeichnis mittlerweile automatisch erkannt, oder bedarf es noch Veränderungen in anderen Dateien? Sprich, reicht es das Adminverzeichnis umzubenennen und alles läuft weiter, oder muss ich das noch in irgendeiner Datei hinterlegen, wie es zb bei einem in einem Unterverzeichnis befindlichen Shop der Fall ist?

Gruß Timm

[HHGAG]

Die beteiligten Entwickler waren halt dort unterwegs, was das Problem ist, steht auch im letzten Post...
Die Anpassungen würden einmal quer durch den Core gehen und jegliche Module inkompatibel machen. In der aktuellen Version wurde wohl ein Teil dahingehend angepasst. Aber auch alle Shops online müssten geupdated werden.

[Tante Uschi]

@Timm,

es reicht einfach den Ordner umzubenennen, läuft alles wie immer ohne weitere Anpassungen.

Edit: macht aber Sinn den Ordner so umzubenennen, das er im Verzeichnis trotzdem noch an erster Stelle steht, sonst sucht man ihn ständig bei Änderungen.

@HHGAG

warum erklärst Du nicht einfach wo das Problem liegt sondern redest ständig um den heißen Brei, ich kann mit keiner Deiner Aussagen auch nur irgend etwas anfangen.

Gruß

[HHGAG]

Durch etwaige Situationen kann es vorkommen, das die Bots und zu der Zeit als der Bug endlich reproduziert worden war auch mit dem Internet Explorer, das als Session ID der Pfad

templates

genutzt wird. Wenn der Admin sich mit dieser Session ID einloggt und im gleichen Moment z.B. der Googlebot auf der Seite ist und den gleichen Bug nutzt, wird er die gleiche Session verwenden und auch den Admin Button finden und in den Admin wechseln. Dort findet er etwaige Links, wie z.B.  Artikel aktivieren/deaktivieren mit dem er dann durch seine programmierte Neugier, alles durchklickt.

Um das in Summe zu erhalten muss z.B. die IP Überprüfung deaktiviert sein, nachm Login das Session Recreate usw.

[noRiddle (revilonetz)]

Ich kann mir nicht helfen, ich habe echt Probleme deine Sätze zu verstehen.
Der Satzbau des Eingangssatzes deiner letzten Antwort ist schon sehenswert.

Session erneuern bei Login oder Neuregistrierung empfehle ich übrigens schon lange (seit es die 2.0.X gibt).
Erw. konfiguration ?> Sessions => "Session erneuern"

Gruß,
noRiddle

[TrueSlide]

Ich kann mir nicht helfen, ich habe echt Probleme deine Sätze zu verstehen.

Ganz neutral von meiner Seite ...
Mir geht es auch so. Das geschriebene zu verstehen fällt selbst nach merhmaligem lesen schwer oder funktioniert gar nicht.

Session erneuern bei Login oder Neuregistrierung empfehle ich übrigens schon lange

Mir ist gerade aufgefallen das es im Shop nicht aktiv ist, wohl weil dort eine "Warnung" steht, dass man sich über die Folgen im klaren sein sollte. Nur habe ich halt keine Ahnung welche das sein sollen.
Kannst du dazu kurz etwas sagen/schreiben, oder (sofern zur Hand) einen Link da lassen, damit man es sich durchlesen kann?

[HHGAG]

Durch etwaige Situationen kann es vorkommen, ... , das als Session ID der Pfad

templates

genutzt wird.

Man lasse einfach die Apposition weg, wenn es einem schwer fällt dieser zu folgen. -.-

[Tante Uschi]

@HHGAG

wir halten fest, Du weißt wo das Problem liegt und Du weißt was man ändern müsste um dieses Problem zu beheben, OK.

Du bist aber nicht in der Lage in irgend einer Form die Lösung zu beschreiben, sondern redest weiterhin um den heißen Brei, so sehe ich das zumindest.

Nach Deinen Angaben wäre ein schlichtes rel="nofollow" für den Adminlink und ein zusätzliches htaccess Passwort für den Adminbereich ausreichend und schon ist das Problem gelöst, oder sehe ich das falsch?

Man lasse einfach die Apposition weg, wenn es einem schwer fällt dieser zu folgen. -.-

Ok, machen wir:

"Durch etwaige Situationen kann es vorkommen dass die Bots als Session ID den Pfad templates nutzen. "

Könntest Du bitte noch einmal Deine Apposition näher erläutern?:

Zu der Zeit als der Bug endlich reproduziert worden war auch mit dem Internet Explorer.

Gruß

[HHGAG]

Das Problem habe ich 2015 erläutert, es ist 2020...

Das Problem ist mit einem nofollow nicht gelöst, es sind schließlich auch Browser betroffen, deren User sicherlich nicht in den Quelltext schauen bevor sie einen Admin Button anklicken.

Es kommen viele Umstände zusammen um das Problem zu reproduzieren, dazu gehören u.a. die relativen Pfade, Session Check mit fehlender IP fixation, Base Href, fehlender Session ID recreation, geinsamer Zugriff zwei anfälliger Clients (Browser/Bot/etc.)

Das Gesamte wurde mit dem IE7 aufgedeckt, seid dem ist es bekannt, bei uns auch direkt gefixt worden.

Um den Bug zu beseitigen müssen alle Module die Pfade verwenden überarbeitet werden, jedes Modul mit einem relativen Pfad und sei es nur für ein Bild, muss mit DIR_WS_CATALOG beginnen.
Die alten, eingebauten SEOurl Erweiterungen müssen raus.
IP muss generell fixiert werden (Wenn man dann permanent aus der Session gekickt wird, ist es ein Zeichen, dass ein Anderer die Session mit euch geteilt hat.)
Session ID recreation sollte generell aktiv sein, es reicht zwar nicht aus, ist aber hilfreich.

[Tante Uschi]

...bei uns auch direkt gefixt worden.

Alles klar, danke für die Information und schön für Dich/Euch, ich sehe es also jetzt so, dass Du nur deswegen hier bist um Kunden abzuwerben und zwar auf eine ganz perfide Art und Weise, so nach dem Motto Brotkrumen streuen, verunsichern und am Ende verunsicherte auf die Multistorevariante ziehen tut mir leid aber in unserem Fall ist das nicht möglich, ganz einfach deswegen weil der Multistore schlicht viel zu kompliziert ist, alleine der Demoshop erfordert schon eine enorme Leistung um überhaupt zu verstehen was wo im Admin sein soll, ganz zu schweigen von Anpassungen die außerhalb eines "normalen" Onlineshops liegen, ähnlich dem Prinzip von Wordpress, Typo3 etc..

Egal, lassen wir es dabei, vielleicht noch ein Hinweis, ich kann mich noch erinnern, wie Du vor gefühlten Jahrzehnten damit geworben hast, das php 7.0 eines Tages kommen wird und man sich damals schon Gedanken machen sollte und (verzeih mir aber aus heutiger Sicht sehe ich es so) um Himmelswillen sofort auf den Multistore gehen sollte, tja auch da lagst Du leider falsch.

Nichts für ungut, ich will Dir nix böses, jedoch haben wir hier das Thema modified und nicht H.H.G. multistore, also entweder bringst Du Dich hier ein um das Shopsystem Modified nach vorne zu bringen, oder aber Du lässt in diesem Forum einfach die Finger von der Tastatur, solche Leute regen mich maßlos auf.

Seit Jahren bist Du in dieser Scene unterwegs und hast hier 59 Beiträge hinterlassen, ich selbst bin ebenfalls seit Jahren hier dabei und habe ebenfalls bescheidene Beiträge, ABER es gibt zwischen uns einen Unterschied ich habe immer xtcommerce 3.x genutzt und musste nun nach 10 Jahren umstellen, ich habe mich für modified entschieden (und ja ich habe auch Deine Seite in den Vergleich einbezogen) und versuche nun meinen bescheidenen Beitrag zu leisten. Du jedoch bist ein Entwickler einer Shopsoftware die ebenfalls auf xtc fußt und hast in all den Jahren mit 59 Beiträgen garantiert nicht sehr viele Probleme von Nutzern des Modified-Shops behoben, wie z.B. hpzeller, NoRiddle, Awis etc. pp. sondern so wie jetzt auch schlicht versucht Deinen Shop unterschwellig an den Mann zu bekommen.

Mach was Du willst für mich ist damit das Thema HHGAG komplett erledigt !

 

Edit: nur noch Eines:

Das Problem ist mit einem nofollow nicht gelöst, es sind schließlich auch Browser betroffen, deren User sicherlich nicht in den Quelltext schauen bevor sie einen Admin Button anklicken.

Diesen Satz verstehe ich auch wieder nicht, ist aber auch wirklich egal...

[HHGAG]

Wer hat denn gesagt, dass ich irgendjemanden abwerben wollen würde. Die Meisten, die hier vertreten sind, haben einfach nicht das Budget sich den HHGMS zuleisten.

Jeder Fork muss selbst um seine Sicherheit sorgen. Dieser Fork hat es nicht geschafft.

Meine Aufgabe ist es lediglich, als einer der COREDEV von xt:C 3.0.4, diesen Sicherheitsleck bekannt zu machen, damit die Forker diesen bei sich fixen.

Btw. Den Core der Zend Framework Version habe ich der Community damals kostenlos angeboten...

Wie dem auch sei, sorgt dafür das die Lücke gestopft wird. Dann kommt Ihr auch nicht auf solche Gedanken.

[HaldOn]

Hallo Hasan,

habe  ich es richtig verstanden, das es "nur" die URL-Session und nicht die Cookie-Session betrifft?

[HHGAG]

Url und Cookie Session ist das gleiche, die Url SessionId wird zur Cookie Session. Sie dient ja auch nur dem Transport.

[GTB]

dann zeig mir mal einen relativen Pfad im Frontend

Gruss Gerhard