Page 2 of 8

Re: [VOTING] XH 1.6.10

Posted: Sun May 24, 2020 4:23 pm
by frase
@cmb
:D Ich hatte ganz bewusst nur den Link ohne Kommentar gesetzt - als Zeichen dafür, dass auch anderen das Problem bewusst ist.

Beide angesprochenen Lösungen scheinen mir nicht optimal.

Gerts Lösung: Die Probleme hast du schon beschrieben.

Dein Patch hat Charme.
Aber auch hier hast du das Problem bei lokalen Tests auch erkannt und beschrieben.
Das wäre mir nicht angenehm, jedesmal zur Passwortänderung aufgefordert zu werden. ;-)
Aber, ich finde es gut, dass zumindest mal darüber nachgedacht wird. 'ne richtig gute Lösung fällt mir eben auch nicht ein.

Re: [VOTING] XH 1.6.10

Posted: Sun May 24, 2020 5:36 pm
by Gert
cmb wrote:
Sun May 24, 2020 4:08 pm
although not "test", but it is still a default password
Wenn ich CMSimple 5.1 mit Passwort "test" ausliefere, kann NIEMAND etwas tun, denn dieses Passwort ist unwirksam. Man kennt zwar das Passwort, kann sich damit aber nicht einloggen. CMSimple ist dann quasi geschlossen, und nur per ftp (wieder) administrierbar zu machen. "test" ist also das sicherste mögliche Passwort, aber nicht das bequemste ;)

Vom hochladen der Datei setupControl.php bis zum neuen Passwort hätte ein Angreifer aber tatsächlich (jedes mal) ein paar Sekunden Zeit, sein eigenes Passwort zu vergeben ;)

frase wrote:
Sun May 24, 2020 4:23 pm
Aber auch hier hast du das Problem bei lokalen Tests auch erkannt und beschrieben.
Das wäre mir nicht angenehm, jedesmal zur Passwortänderung aufgefordert zu werden.
Das macht man lokal genau 1x nach dem Download, diese Vorlage kann ich dann immer wieder verwenden. Ich habe auch lokal niemals das Passwort "test" verwendet. So eine lokale Testinstallation will man ja vielleicht auch schnell mal für irgendwelche Tests hochladen, und dann denkt man mal nicht ans Passwort ...

Re: [VOTING] XH 1.6.10

Posted: Sun May 24, 2020 5:50 pm
by frase
Gert wrote:
Sun May 24, 2020 5:36 pm
Das macht man lokal genau 1x nach dem Download, diese Vorlage kann ich dann immer wieder verwenden. Ich habe auch lokal niemals das Passwort "test" verwendet. So eine lokale Testinstallation will man ja vielleicht auch schnell mal für irgendwelche Tests hochladen, und dann denkt man mal nicht ans Passwort ...
Rrrrrrrr, auch wieder richtig.
Ich habe das ja gedanklich noch gar nicht richtig durchdrungen. So schnell bin ich nich ;)
Trotzdem schön, dass sich Leute die sich auskennen, jetzt auch mal damit beschäftigen.
*Daumen hoch*

Re: [VOTING] XH 1.6.10

Posted: Sun May 24, 2020 5:55 pm
by Tata
Gäbe es eine Möglichkeit, die Installation:
a) am Lokalhost evtl. ohne einem Passwort (oder mit z.B. "test") nutzen
b) nur mit neuem Passwort (den Regeln entsprechend) am Host zu installieren
?

Re: [VOTING] XH 1.6.10

Posted: Sun May 24, 2020 10:54 pm
by cmb
Gert wrote:
Sun May 24, 2020 5:36 pm
Wenn ich CMSimple 5.1 mit Passwort "test" ausliefere, kann NIEMAND etwas tun, denn dieses Passwort ist unwirksam.
Ah, gut. Dass das in login.php ebenfalls abgefangen wird, hatte ich übersehen.
Gert wrote:
Sun May 24, 2020 5:36 pm
frase wrote:
Sun May 24, 2020 4:23 pm
Aber auch hier hast du das Problem bei lokalen Tests auch erkannt und beschrieben.
Das wäre mir nicht angenehm, jedesmal zur Passwortänderung aufgefordert zu werden.
Das macht man lokal genau 1x nach dem Download, diese Vorlage kann ich dann immer wieder verwenden.
Ja klar, ich kann auch einen passenden Passwort-Hash direkt in config.php eintragen. Aber egal wie ich es mache, ich muss es beim Entwickeln jedesmal tun, wenn ich den aktuellen Branch cleane, oder in einen andern Branch wechsele. Okay, mit einem `phing set-passwd <password>` wäre das wohl akzeptabel.
Tata wrote:
Sun May 24, 2020 5:55 pm
Gäbe es eine Möglichkeit, die Installation:
a) am Lokalhost evtl. ohne einem Passwort (oder mit z.B. "test") nutzen
b) nur mit neuem Passwort (den Regeln entsprechend) am Host zu installieren
?
Man könnte wohl auf "localhost" als Domainnamen prüfen, aber ich denke, dass ist nicht hinreichend sicher. Eine Prüfung auf die Loopback-Adresse vielleicht schon. Vielleicht wirklich eine Idee, die man weiter verfolgen sollte.

Re: [VOTING] XH 1.6.10

Posted: Mon May 25, 2020 7:41 am
by frase
cmb wrote:
Sun May 24, 2020 4:08 pm
I've made a quick patch for this, but I still think this is not quite right, because that leaves room for an attacker to effectively taking over the installation (see my comments above). Also it's ugly for local installations, especially for development.
Vielleicht sollte man den Hinweis als XH-Message ausgeben, damit das nicht so leicht übersehen wird:

Code: Select all

        if (!empty($_SESSION['xh_must_change_password'])) {
            $o .= '<p class="xhWarning">You have to change your password!</p>';
        }
(Vielleicht kann das auch noch später eine Sprachvariable werden.)

Nachdem ich so ein wenig damit gespielt habe, finde ich diese Idee (deinen Patch) immer besser.
Auch am localhost kann man sich daran gewöhnen. Wie üblich wehrt sich das alte Hirn erstmal gegen alles Neue. Doch erstens ist es gar nicht so wild und zweitens dient es der Sicherheit.

Also: Schweiß von der Stirn gewischt (heute sollte ja jeder ein Handtuch bei sich haben, heute ist Towel Day!) und die Frage gestellt:
Sollten wir das nicht zur allgemeinen Diskussion (neuer Thread) stellen und vielleicht sogar schon in 1.7.3 integrieren?

Re: [VOTING] XH 1.6.10

Posted: Mon May 25, 2020 8:00 am
by frase
Nachtrag zum vorherigen Post:

Leider kann damit nicht verhindert werden, dass jemand seine Website mit dem Standard-Passwort online stellt.
Er würde es erst nach dem ersten Einloggen bemerken.
Im schlimmsten Fall könnte ein Fremder dieses einfach ändern - und der Besitzer könnte das nur per FTP korrigieren.

Re: [VOTING] XH 1.6.10

Posted: Mon May 25, 2020 8:13 am
by Tata
cmb wrote:
Sun May 24, 2020 10:54 pm
Vielleicht wirklich eine Idee, die man weiter verfolgen sollte.
Oder eben als Standardinstallation überhaupt kein Passwort verlangen und in der Konfiguration einen Schalter einbauen, der dann ein echtes Passwort verlangen würde. D.h., am Localhost könnte der Webmaster einfach alles öffnen und bearbeiten, ohne bei jedem Login mit der Passworteingabe die Zeit zu verschwinden. Sobald aber die Webseite fertig ist (Template, Stzlesheet, basic Content usw.) und soll an Server installiert sein, muss man irgendwo ganz deutlich eigegeben sein, dass Passwort Funktion in der Konfiguration eingeschaltet sein muss und dann entw. gleich ein Passwort gegeben, oder die Warnung, dass die Seite bleibt geschlossen, solange ein Passwort nicht gegeben wird.
Optional könnte die Konfiguration auch am Lokalhost wirken.
Etwa so?
logins.jpg

Re: [VOTING] XH 1.6.10

Posted: Mon May 25, 2020 8:31 am
by olape
Tata wrote:
Mon May 25, 2020 8:13 am
Oder eben als Standardinstallation überhaupt kein Passwort verlangen und in der Konfiguration einen Schalter einbauen, der dann ein echtes Passwort verlangen würde.
Damit würden wir mehr Schaden als Nutzen machen.
Denn dann wäre es möglich, dass Websites, nicht nur wie bisher mit Standardpassword, sondern sogar ohne Password online wären.
Genau das Gegenteil soll erreicht werden.

Da wäre die Idee besser.
cmb wrote:
Sun May 24, 2020 10:54 pm
Man könnte wohl auf "localhost" als Domainnamen prüfen, aber ich denke, dass ist nicht hinreichend sicher. Eine Prüfung auf die Loopback-Adresse vielleicht schon. Vielleicht wirklich eine Idee, die man weiter verfolgen sollte.

Re: [VOTING] XH 1.6.10

Posted: Mon May 25, 2020 9:04 am
by frase
Vielleicht sollte ein Forums-Admin ab hier abtrennen und einen neuen Thread eröffnen.
Es scheint ja von einigem Interesse zu sein - und unwichtig finde ich das Thema wirklich nicht.
cmb wrote:
Sun May 24, 2020 10:54 pm
Eine Prüfung auf die Loopback-Adresse vielleicht schon. Vielleicht wirklich eine Idee, die man weiter verfolgen sollte.
Denke ich mittlerweile auch.
Lokal alles wie bisher.
Doch was dann, wenn es online ist?
Dann müsste wahrscheinlich eine Vorschaltseite erscheinen (ähnlich Gert) und die Site gar nicht nutzbar/sichtbar sein.
Oder anders: Kein Login möglich!
Das muss der Betreiber dann eben per FTP lösen.