Admin Bereich schützen

[bewusst]

Hallo,

bis jetzt habe ich immer egal ob Joomla, oscommerce oder WP den Admin Bereich mit
einer .htpasswd gesichert oder auch das
Verzeichnis /admin/ unbenannt (/s25jhut46/  z.B.).

Frage 1:
Wenn ich bei xtmodified einen Verzeichnisschutz anlege kommt gleich das LogIn Fenster vom Apache!?!
Vorgangsweise:
Hier lege ich den Verzeichnisschutz an:
www.meine-seite.at/shop/admin  --> hier liegt die .htpasswd und .htaccess

Wenn ich dann den Shop aufrufe mit
www.meine-seite.at
kommt geleich das LogIn Fenster vom Apache kann es zwar wegklicken aber wieso kommt das
Fenster jetzt schon?

Frage 2: Wäre es Sinnvoll aus Sicherheitsgründen das Admin Verzeichnis zu renamen?
Edit: hatte es Test weise gemacht inkl. der configure.php Anpassung
hat leider nicht geklappt.

Welche Schutzmechanismen gibt es od. hat der Shop schon bereits onboard bzgl. login,
Admin-Verzeichnis?

Wäre auch gut einen Sicherheitsleitfaden ganz oben im Forum anzukleben.
Hoffe ich hab es nicht wo übersehen sonst bin ich dran

LG
bewusst



Linkback: https://www.modified-shop.org/forum/index.php?topic=4109.0

[Tomcraft]

Der Admin-Bereich ist durch Login-Daten geschützt, wieso willst du da noch einen htaccess Verzeichnis-Schutz haben?!

Grüße

Torsten

[bewusst]

Hallo Torsten,

Der Admin-Bereich ist durch Login-Daten geschützt [...]

E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
das PW könnte über "brute force" zu finden sein.

Geht die Lösung mit einer ".htpasswd" bei modified eCommerce Shopsoftware  "/admin/" nicht?

LG
bewusst

[web28]

[...]
E-Mail Adresse vom Shop Besitzer ist meistens nicht schwer zu finden und
das PW könnte über "brute force" zu finden sein.
[...]

Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

Ein sicheres Kennwort sollte selbstverständlich sein!

Gruss Web28

[bewusst]

Hallo,

[...]
Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de
[...]

Klingt gut!

Sowas gehört in einen Sicherheitsleitfaden. Da ihr oft oder fast immer programmiert
und so eure Erfahrungen habt, ist das natürlich Standard. Ich habe gerade etwas
dazu gelernt

LG
bewusst

[Lutz.H]

Die Admin Login E-Mailadresse muss mit der Shop E-Mailadresse nicht übereinstimmen!

Vielleicht sollte man darauf hinweisen, dafür eine sicherere E-Mailadresse zu verwenden, z.B. in nach diesem Muster: vdfgdhhez@meinshop.de

Ein sicheres Kennwort sollte selbstverständlich sein!

Gruss Web28

Hallo zusammen,
da ich mir auch gerne Gedanken über Sicherheit mache
und die Tage 'nen modified eCommerce Shopsoftware aktiviert habe, folgende Anmerkungen:

Richtig ist natürlich, dass die Verwendung einer anderen Email-Adresse,
die Wahrscheinlichkeit, dass Brute-Force Erfolg hat, reduziert.
Dennoch gibt es einige einfache Methoden das Risiko deutlich weiter
zu reduzieren:

• Nach Fehlversuchen beim Einloggen einen sleep(10-20); einbauen.
  Dann kann der nächste Versuch erst nach Verzögerung erfolgen.
  Idealerweise noch 'ne E-Mail an den Admin mit der IP-Adresse des Fehlversuchs.
  Dann kann man die IP bei zu vielen Versuchen sperren.
• Anmeldeverfahren wie im http://www.self-commerce.de/
  Hier werden erfolglose Anmeldungen in Kombination mit IP usw. mitgezählt.
  Ab dem x-ten Fehlversuch kann Anmeldung nur noch mit Captcha erfolgen.

Das sind 2 sehr einfache und wirkungsvolle Wege gegen automatisierte Angriffe.

Wie gemailt: Den ersten habe ich mir schon eingebaut.
Zumindestens eine der Varianten wäre aus meiner Sicht zur Steigerung der Sicherheit
- davon kann es nie genug geben - auch im modified eCommerce Shopsoftware sehr wünschenswert.

Ansonsten, wie hoffentlich häufig geäussert:
Respekt und vielen Dank für den gelungenen Shop

Lutz

[Tomcraft]

Das sind gute Idee, vielleicht könnte man sich da bei Self-Commerce im Code ein wenig umschauen.

Grüße

Torsten

[Lutz.H]

n'abend Torsten,
es geht noch einfacher: xtc Brute Force Sicherheisabfrage

Es ist keine Lizenz angeben. Anscheinend kann das Modul genutzt werden,
nur der Einbau ist als Dienstleistung kostenpflichtig

Lutz

[Tomcraft]

Da es sich bei "3D Commerce" auch um einen xt:Commerce Fork handelt steht der Shop, genauso wie das Modul unter der GPL.

Grüße

Torsten

[Hetfield]

Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  

MfG Hetfield  

[GTB]

wäre es nicht auch sinnvoll, den Admin-Login und den Kunden-Login wieder zu trennen, wie es ursprünglich in OSC war ?

[Tomcraft]

Und der Mitentwickler des Moduls ist ja auch im modified eCommerce Shopsoftware-Team!  

MfG Hetfield  

Wenn ich den erwische!

Hältst du das für eine gute Idee diese Erweiterung fest zu integrieren? Thema "Modulbomber", wobei das ansich kein Modul ist sondern nur eine Erweiterung der vorhandenen Funktionalität, von daher habe ich immer die Frage damit wohl selbst beantwortet. *gg*

Probleme gibt es mit der Erweiterung wohl auch nicht, sonst hättest du bestimmt etwas dazu geschrieben, richtig?

Grüße

Torsten

[GTB]

ich hab mir das mal eingebaut und es funktioniert soweit, ABER:

der Aufruf des VVIMG ist nicht ganz korrekt.

Code: PHP  [Auswählen]

$smarty->assign('VVIMG', '<img src="'.FILENAME_DISPLAY_VVCODES.'" alt="" />');
 

sollte durch:

Code: PHP  [Auswählen]

                $smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES).'" alt="Captcha" />');
 

ersetzt werden, sonst funktioniert die Eingabe des SIcherheitscodes bei deaktivierten Cookies nicht.

@Hetfield, danke gefällt mir und wird in meinen Shop kommen.

G.

[web28]

Mit "xtc_href_link" gibt es aber Probleme mit SSL, deshalb haben wir das geändert.

[GTB]

ok, hast Recht, aber so gibt es keine Probleme:

Code: PHP  [Auswählen]

$smarty->assign('VVIMG', '<img src="'.xtc_href_link(FILENAME_DISPLAY_VVCODES, '', 'SSL').'" alt="Captcha" />');