olape wrote: ↑Tue May 26, 2020 7:49 pm
Wenn ich es richtig verstanden habe, erstellt das Setup von Gert eine Datei, die später per ftp umbenannt werden muss.
Nein, das war die "sichere Variante", die wurde nie veröffentlicht, nur diskutiert. Die fandest Du ja nicht so doll, weil "nicht simple"
Die aktuell veröffentlichte Testversion ist die "Kompromissvariante", da wird das Passwort wieder direkt in der config.php geändert, was die besagte "Ein paar Sekunden Lücke" für Angreifer verursacht. Deshalb
MUSS ja bei dieser Variante die setupControl.php nach dem Setup (oder eben nach 5 min beim erneuten Aufruf der setup.php) gelöscht werden.
In der readme.php steht geschrieben, dass man nach dem Setup überprüfen soll, ob Setup wirklich inaktiv ist, indem man die setup.php noch einmal aufruft. Ist Setup noch aktiv, soll man die setupControl.php per ftp löschen. Aber wer liest schon noch die readme.php, nachdem CMSimple läuft
Deshalb werde ich noch folgendes tun:
1. Die setup.php prüft, ob die setupControl.php beschreibbar ist, ansonsten: Setup inaktiv
2. in der readme.php werde ich darauf hinweisen, dass die setupControl.php nach dem hochladen Schreibrechte (666) bekommen muss, sollte Setup trotz setupControl.php inaktiv sein.
Damit werde ich mich jetzt mal beschäftigen.
============================
PS: Funktioniert.
setupControl.php per ftp auf 444 gesetzt => Setup inaktiv.
setupControl.php per ftp auf 644 gesetzt => Setup aktiv (natürlich auch bei 666)
Setup ist jetzt nur dann aktiv, wenn die setupControl.php beschreibbar, also auch löschbar ist.
setup.php Zeile 21:
Code: Select all
if (is_writable('setupControl.php') && file_exists('index.php'))
Den Download habe ich aktualisiert.
PS2: Das ändern der Dateiberechtigungen per ftp ändert auch file
ctime(), man hat dann also wieder die 5 min Zeit.