[VOTING] XH 1.6.10
Re: [VOTING] XH 1.6.10
@cmb
Ich hatte ganz bewusst nur den Link ohne Kommentar gesetzt - als Zeichen dafür, dass auch anderen das Problem bewusst ist.
Beide angesprochenen Lösungen scheinen mir nicht optimal.
Gerts Lösung: Die Probleme hast du schon beschrieben.
Dein Patch hat Charme.
Aber auch hier hast du das Problem bei lokalen Tests auch erkannt und beschrieben.
Das wäre mir nicht angenehm, jedesmal zur Passwortänderung aufgefordert zu werden.
Aber, ich finde es gut, dass zumindest mal darüber nachgedacht wird. 'ne richtig gute Lösung fällt mir eben auch nicht ein.
Ich hatte ganz bewusst nur den Link ohne Kommentar gesetzt - als Zeichen dafür, dass auch anderen das Problem bewusst ist.
Beide angesprochenen Lösungen scheinen mir nicht optimal.
Gerts Lösung: Die Probleme hast du schon beschrieben.
Dein Patch hat Charme.
Aber auch hier hast du das Problem bei lokalen Tests auch erkannt und beschrieben.
Das wäre mir nicht angenehm, jedesmal zur Passwortänderung aufgefordert zu werden.
Aber, ich finde es gut, dass zumindest mal darüber nachgedacht wird. 'ne richtig gute Lösung fällt mir eben auch nicht ein.
Re: [VOTING] XH 1.6.10
Wenn ich CMSimple 5.1 mit Passwort "test" ausliefere, kann NIEMAND etwas tun, denn dieses Passwort ist unwirksam. Man kennt zwar das Passwort, kann sich damit aber nicht einloggen. CMSimple ist dann quasi geschlossen, und nur per ftp (wieder) administrierbar zu machen. "test" ist also das sicherste mögliche Passwort, aber nicht das bequemste
Vom hochladen der Datei setupControl.php bis zum neuen Passwort hätte ein Angreifer aber tatsächlich (jedes mal) ein paar Sekunden Zeit, sein eigenes Passwort zu vergeben
Das macht man lokal genau 1x nach dem Download, diese Vorlage kann ich dann immer wieder verwenden. Ich habe auch lokal niemals das Passwort "test" verwendet. So eine lokale Testinstallation will man ja vielleicht auch schnell mal für irgendwelche Tests hochladen, und dann denkt man mal nicht ans Passwort ...
Last edited by Gert on Sun May 24, 2020 5:56 pm, edited 1 time in total.
Re: [VOTING] XH 1.6.10
Rrrrrrrr, auch wieder richtig.Gert wrote: ↑Sun May 24, 2020 5:36 pmDas macht man lokal genau 1x nach dem Download, diese Vorlage kann ich dann immer wieder verwenden. Ich habe auch lokal niemals das Passwort "test" verwendet. So eine lokale Testinstallation will man ja vielleicht auch schnell mal für irgendwelche Tests hochladen, und dann denkt man mal nicht ans Passwort ...
Ich habe das ja gedanklich noch gar nicht richtig durchdrungen. So schnell bin ich nich
Trotzdem schön, dass sich Leute die sich auskennen, jetzt auch mal damit beschäftigen.
*Daumen hoch*
Re: [VOTING] XH 1.6.10
Gäbe es eine Möglichkeit, die Installation:
a) am Lokalhost evtl. ohne einem Passwort (oder mit z.B. "test") nutzen
b) nur mit neuem Passwort (den Regeln entsprechend) am Host zu installieren
?
a) am Lokalhost evtl. ohne einem Passwort (oder mit z.B. "test") nutzen
b) nur mit neuem Passwort (den Regeln entsprechend) am Host zu installieren
?
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
Re: [VOTING] XH 1.6.10
Ah, gut. Dass das in login.php ebenfalls abgefangen wird, hatte ich übersehen.
Ja klar, ich kann auch einen passenden Passwort-Hash direkt in config.php eintragen. Aber egal wie ich es mache, ich muss es beim Entwickeln jedesmal tun, wenn ich den aktuellen Branch cleane, oder in einen andern Branch wechsele. Okay, mit einem `phing set-passwd <password>` wäre das wohl akzeptabel.
Man könnte wohl auf "localhost" als Domainnamen prüfen, aber ich denke, dass ist nicht hinreichend sicher. Eine Prüfung auf die Loopback-Adresse vielleicht schon. Vielleicht wirklich eine Idee, die man weiter verfolgen sollte.
Christoph M. Becker – Plugins for CMSimple_XH
Re: [VOTING] XH 1.6.10
Vielleicht sollte man den Hinweis als XH-Message ausgeben, damit das nicht so leicht übersehen wird:
Code: Select all
if (!empty($_SESSION['xh_must_change_password'])) {
$o .= '<p class="xhWarning">You have to change your password!</p>';
}
Nachdem ich so ein wenig damit gespielt habe, finde ich diese Idee (deinen Patch) immer besser.
Auch am localhost kann man sich daran gewöhnen. Wie üblich wehrt sich das alte Hirn erstmal gegen alles Neue. Doch erstens ist es gar nicht so wild und zweitens dient es der Sicherheit.
Also: Schweiß von der Stirn gewischt (heute sollte ja jeder ein Handtuch bei sich haben, heute ist Towel Day!) und die Frage gestellt:
Sollten wir das nicht zur allgemeinen Diskussion (neuer Thread) stellen und vielleicht sogar schon in 1.7.3 integrieren?
Re: [VOTING] XH 1.6.10
Nachtrag zum vorherigen Post:
Leider kann damit nicht verhindert werden, dass jemand seine Website mit dem Standard-Passwort online stellt.
Er würde es erst nach dem ersten Einloggen bemerken.
Im schlimmsten Fall könnte ein Fremder dieses einfach ändern - und der Besitzer könnte das nur per FTP korrigieren.
Leider kann damit nicht verhindert werden, dass jemand seine Website mit dem Standard-Passwort online stellt.
Er würde es erst nach dem ersten Einloggen bemerken.
Im schlimmsten Fall könnte ein Fremder dieses einfach ändern - und der Besitzer könnte das nur per FTP korrigieren.
Re: [VOTING] XH 1.6.10
Oder eben als Standardinstallation überhaupt kein Passwort verlangen und in der Konfiguration einen Schalter einbauen, der dann ein echtes Passwort verlangen würde. D.h., am Localhost könnte der Webmaster einfach alles öffnen und bearbeiten, ohne bei jedem Login mit der Passworteingabe die Zeit zu verschwinden. Sobald aber die Webseite fertig ist (Template, Stzlesheet, basic Content usw.) und soll an Server installiert sein, muss man irgendwo ganz deutlich eigegeben sein, dass Passwort Funktion in der Konfiguration eingeschaltet sein muss und dann entw. gleich ein Passwort gegeben, oder die Warnung, dass die Seite bleibt geschlossen, solange ein Passwort nicht gegeben wird.
Optional könnte die Konfiguration auch am Lokalhost wirken.
Etwa so?
You do not have the required permissions to view the files attached to this post.
CMSimple.sk
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.
Re: [VOTING] XH 1.6.10
Damit würden wir mehr Schaden als Nutzen machen.
Denn dann wäre es möglich, dass Websites, nicht nur wie bisher mit Standardpassword, sondern sogar ohne Password online wären.
Genau das Gegenteil soll erreicht werden.
Da wäre die Idee besser.
Gruß Olaf, Plugins for CMSimple_XH
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.
Re: [VOTING] XH 1.6.10
Vielleicht sollte ein Forums-Admin ab hier abtrennen und einen neuen Thread eröffnen.
Es scheint ja von einigem Interesse zu sein - und unwichtig finde ich das Thema wirklich nicht.
Lokal alles wie bisher.
Doch was dann, wenn es online ist?
Dann müsste wahrscheinlich eine Vorschaltseite erscheinen (ähnlich Gert) und die Site gar nicht nutzbar/sichtbar sein.
Oder anders: Kein Login möglich!
Das muss der Betreiber dann eben per FTP lösen.
Es scheint ja von einigem Interesse zu sein - und unwichtig finde ich das Thema wirklich nicht.
Denke ich mittlerweile auch.
Lokal alles wie bisher.
Doch was dann, wenn es online ist?
Dann müsste wahrscheinlich eine Vorschaltseite erscheinen (ähnlich Gert) und die Site gar nicht nutzbar/sichtbar sein.
Oder anders: Kein Login möglich!
Das muss der Betreiber dann eben per FTP lösen.