Advancedform_XH - need help from masters

Third Party Plugins to CMSimple - how to install, use and create plugins

Moderator: Tata

olape
Posts: 1859
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Advancedform_XH - need help from masters

Post by olape » Wed Oct 06, 2021 8:08 pm

cmb wrote:
Wed Oct 06, 2021 7:53 pm
Da fällt mir $mail->Password auf. Eigentlich nicht schön, ein Klartext-Password in config.php (oder auch im Code) zu hinterlegen, zumindest wenn dieser im Webroot liegt. :?
Nein, ist es nicht, aber erst mal muss es funktionieren.
Wenn es dann mal per config geht kann man das PW ja verschlüsselt ablegen,

cmb
Posts: 13811
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Advancedform_XH - need help from masters

Post by cmb » Wed Oct 06, 2021 8:44 pm

olape wrote:
Wed Oct 06, 2021 8:08 pm
Wenn es dann mal per config geht kann man das PW ja verschlüsselt ablegen,
Nicht wirklich. Zum einen wird das von CMSimple_XH nicht direkt unterstützt, und zum anderen muss der Schlüssel ja auch irgendwo hinterlegt werden, und wer Schlüssel und Algorithmus kennt (ist ja Open Source), kann leicht entschlüsseln. Schlüssel außerhalb des Webroot wäre wohl okay, aber damit wird sich so mancher User schwer tun. Oder Schlüssel hidden in config.php – vielleicht, eine XH Installation ist ja nicht Ft. Knox.
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 1859
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Advancedform_XH - need help from masters

Post by olape » Wed Oct 06, 2021 9:06 pm

cmb wrote:
Wed Oct 06, 2021 8:44 pm
zum anderen muss der Schlüssel ja auch irgendwo hinterlegt werden,
Hm…, aber man könnt vielleicht den pw-hash von XH zum verschlüsseln nehmen.
Damit sollte das Problem etwas kleiner werden.
Natürlich auch nicht unüberwindbar, aber schon mal etwas sicherer.

Relativ sicher wäre es nur, wenn man irgendeinen maschinenspezifischen Code /ID mit einfließen lassen könnte.

Tata
Posts: 3436
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: Advancedform_XH - need help from masters

Post by Tata » Wed Oct 06, 2021 9:12 pm

olape wrote:
Wed Oct 06, 2021 9:06 pm
Relativ sicher wäre es nur, wenn man irgendeinen maschinenspezifischen Code /ID mit einfließen lassen könnte.
Würde das dann nicht heißen, dass auf die Webseite nur auf einer einzigen Maschine einloggen möglich würde?
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

olape
Posts: 1859
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Advancedform_XH - need help from masters

Post by olape » Wed Oct 06, 2021 9:16 pm

Tata wrote:
Wed Oct 06, 2021 9:12 pm
Würde das dann nicht heißen, dass auf die Webseite nur auf einer einzigen Maschine einloggen möglich würde?
Es geht nicht um das Login.

cmb
Posts: 13811
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: Advancedform_XH - need help from masters

Post by cmb » Wed Oct 06, 2021 9:48 pm

olape wrote:
Wed Oct 06, 2021 9:06 pm
cmb wrote:
Wed Oct 06, 2021 8:44 pm
zum anderen muss der Schlüssel ja auch irgendwo hinterlegt werden,
Hm…, aber man könnt vielleicht den pw-hash von XH zum verschlüsseln nehmen.
Hashes gehen nur in eine Richtung (Entschlüsseln ist nicht möglich); der SMTP-Server erwartet aber ein Klartext-Password (das er dann gegen den gespeicherten Hashwert prüft). Geht also nicht.
olape wrote:
Wed Oct 06, 2021 9:06 pm
Relativ sicher wäre es nur, wenn man irgendeinen maschinenspezifischen Code /ID mit einfließen lassen könnte.
MAC Adresse, oder so – interessante Idee. Dann könnte der SMTP-Server nur von der Maschine genutzt werden. Ich gehe aber davon aus, dass der SMTP-Server ohnehin nicht von anderen Maschinen erreichbar ist (lokaler SMTP-Server), und selbst wenn, liegt das Problem wohl eher darin, dass ein Script eingeschleust werden könnte, dass Mails verschickt. Ein solches Script könnte aber auch einfach den MailService nutzen (der dann das Passwort selbst sendet). Da kann Advancedform_XH ohnehin nichts dagegen machen. Das einzige Problem das wirklich bleibt, ist dass jemand an die config.php rankommt, aber dann muss auch das Admin-Passwort als kompromittiert gelten (obwohl gut gehasht) – also auch kein Advancedform_XH spezifisches Problem. Also ist es wohl doch nicht so problematisch, das Klartextpassword in der config.php zu speichern, wenn es nicht angezeigt wird, und wenn gut dokumentiert ist, dass das nicht ganz unproblematisch ist.

Gefallen tut mir das nicht wirklich, aber die Zeiten von CMSimpleSE sind hoffentlich längst vorbei (da konnte nämlich jeder Besucher leicht den Inhalt der config.php abrufen :twisted:). Und ich hoffe doch schwer, dass alle Nutzer ihre config.php Dateien vor unbefugtem Zugriff schützen. Wäre natürlich trotzdem gut, wenn diese außerhalb des Webroot lägen.
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 1859
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Advancedform_XH - need help from masters

Post by olape » Thu Oct 07, 2021 5:51 am

cmb wrote:
Wed Oct 06, 2021 9:48 pm
Hashes gehen nur in eine Richtung (Entschlüsseln ist nicht möglich); der SMTP-Server erwartet aber ein Klartext-Password (das er dann gegen den gespeicherten Hashwert prüft). Geht also nicht.
Ich meinte auch nicht, dass der Hash wieder entschlüsselt werden sollte (es ist mir klar, dass das nicht geht), sondern ich dachte daran, den Hash des XH-PW als Key zum Verschlüsseln des SMTP-Passwortes zu nutzen. Und damit könnte man dann das Passwort auch wieder entschlüsseln, da der Key ja "bekannt" wäre. Dabei müsste man schon mal zwei Dinge der Installation in Erfahrung bringen, um an das SMTP-PW zu kommen.
cmb wrote:
Wed Oct 06, 2021 9:48 pm
MAC Adresse, oder so – interessante Idee. Dann könnte der SMTP-Server nur von der Maschine genutzt werden.
Das war mein Gedanke. Nur was nutzt man? Gibt es überhaupt etwas verlsässliches (was man mit PHP auch auslesen könnte)? MAC-Adresse in der heutigen Zeit? Wohl keine gute Idee in Zeiten von Virtualisierung. Da ist eine MAC-Adresse keine verlässliche Komponente mehr.

olape
Posts: 1859
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: Advancedform_XH - Versand per SMTP

Post by olape » Thu Oct 07, 2021 12:12 pm

olape wrote:
Wed Oct 06, 2021 5:17 pm
Ich werden PHP-Mailer für SMTP-Versand einrichten, dass sollte das Problem beheben, hoffe ich und dann auch das normale Kontaktformular mit Advancedform ersetzen.
Das funktioniert prima. :D

Allerdings, je nach smpt-Server muss man eventuell noch die From-Adresse des Formulares per Hook ersetzen.
Nicht alle Server lassen sich gefallen unter einer anderen Adresse zu versenden, als jene, die für die SMTP-Authentifizierung genutzt wird.

bei allinkl gab es damit keine Probleme, bei unserem Hosted-Exchange gibg es nicht so klaglos ab.

also: smtp-Authentifizierung mit mail_1@domain.tld

Formular 1 --> Empfänger: mail_1@domain.tld (und damit auch From) --> funktioniert

Formular 2 --> Empfänger: mail_2@domain.tld (und damit auch From) --> funktioniert nicht (Client does not have permissions to send as this sender)

Code: Select all

SMTP-Fehler: Daten werden nicht akzeptiert.Fehler vom SMTP-Server: DATA END command failed Detail: SMTP; Client does not have permissions to send as this sender SMTP code: 550 Additional SMTP info: 5.7.60

Post Reply