[VOTING] XH 1.6.10

Discussions and requests related to new CMSimple features, plugins, templates etc. and how to develop.
Please don't ask for support at this forums!
cmb
Posts: 13395
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: [VOTING] XH 1.6.10

Post by cmb » Thu May 28, 2020 5:08 pm

frase wrote:
Thu May 28, 2020 1:17 pm
Wenn man bedenkt, dass es fast 20 Jahre OHNE ging, dann scheint das was wir hier treiben, ziemlich abgefahren.
Ja. :) Was verbessern sollten wir, aber ich sehe da keinen Grund zur Eile. Eine entscheidende Frage ist allerdings, ob wird "test" auch bei/nach Updates verbieten, oder nur bei Neuinstallationen.
frase wrote:
Thu May 28, 2020 4:47 pm
Da gibt es noch etwas:
Man kann den gesamten Dialog mit dem User (was ist jetzt zu tun ... usw.) über den Bildschirm abhandeln. Eine Extra-Readme wäre gar nicht nötig.
Irgendwie fühlt sich das für mich "benutzerfreundlicher" an (zumindest momentan).
Ja, das ist genau was z.B. MediaWiki macht. Password und Datenbankzugangsdaten abfragen, Systemcheck, und was weiß ich. Ist dort halt auch nötig (man kann nicht einfach lokal vorbereiten und dann ohne Anpassungen hoch laden); bei CMSimple halt eigentlich nicht.
Holger wrote:
Thu May 28, 2020 4:37 pm
Es bietet sich an, die Sache nicht in einem externen Skript zu erledigen.
Ja, bitte!
Holger wrote:
Thu May 28, 2020 4:37 pm
Mir fällt jetzt echt kein Grund ein, weshalb man die Sache mit dem 5 Minuten machen müsste, wenn eh FTP akzeptiert wird.
Mir auch nicht.
Christoph M. Becker – Plugins for CMSimple_XH

frase
Posts: 3498
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: [VOTING] XH 1.6.10

Post by frase » Thu May 28, 2020 5:10 pm

Holger wrote:
Thu May 28, 2020 5:03 pm
Aber es muss halt immer ein zweites Mal per FTP Hand angelegt werden. Für mich wäre das kein echtes "Problem". Aber es "gefällt" mir halt nicht sonderlich.
Das wäre doch nur relevant, wenn man eine neue Installtion online stellt, also wenn man ohnehin gerade mit FTP hantiert.
NUR EINMAL.

Gert
Posts: 3075
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: [VOTING] XH 1.6.10

Post by Gert » Thu May 28, 2020 5:15 pm

Holger wrote:
Thu May 28, 2020 4:47 pm
Vorausgesetzt, dass FTP okay ist, besteht der Unterschied in dem 5-Minuten-Slot. Den gibt es bei meinem Vorschlag definitiv nicht.
Bei meiner "sicheren Variante", wo man die configSetup.php per ftp in config.php umbenennen muss (nach Löschung der config.php), gibt es die 5 min Lücke auch nicht. Aber wahrscheinlich habe ich schon zu viele Varianten vorgeschlagen - da kommt man durcheinander.

Naja - drängt ja nicht. Am Ende muss ich mich für eine entscheiden ...
Gert Ebersbach | CMSimple | Templates - Plugins - Services

frase
Posts: 3498
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: [VOTING] XH 1.6.10

Post by frase » Thu May 28, 2020 5:16 pm

cmb wrote:
Thu May 28, 2020 5:08 pm
Eine entscheidende Frage ist allerdings, ob wird "test" auch bei/nach Updates verbieten, oder nur bei Neuinstallationen.
"test" sollte eigentlich nie und nirgends erlaubt werden.
Auch bei Updates nicht.
Sollte jemand "test" haben und ein Update installieren, wird er gezwungen das PW zu ändern.

Holger
Site Admin
Posts: 3236
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: [VOTING] XH 1.6.10

Post by Holger » Thu May 28, 2020 5:21 pm

Gert wrote:
Thu May 28, 2020 5:15 pm
Bei meiner "sicheren Variante", wo man die configSetup.php per ftp in config.php umbenennen muss (nach Löschung der config.php), gibt es die 5 min Lücke auch nicht. Aber wahrscheinlich habe ich schon zu viele Varianten vorgeschlagen - da kommt man durcheinander.
Ja. Ich hab' auch länger gebraucht das zu kapieren. Daher ging ich ja davon aus, dass IMMER zusätzlich FTP nötig wäre.
cmb wrote:
Thu May 28, 2020 5:08 pm
Ja, das ist genau was z.B. MediaWiki macht.
Und gibt es da einen Schutz, dass das Setup nicht von mehreren Instanzen aufgerufen werden kann? Ich fürchte nicht, weiß es aber auch nicht genau.

cmb
Posts: 13395
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa, RLP, DE
Contact:

Re: [VOTING] XH 1.6.10

Post by cmb » Thu May 28, 2020 10:00 pm

Holger wrote:
Thu May 28, 2020 5:21 pm
cmb wrote:
Thu May 28, 2020 5:08 pm
Ja, das ist genau was z.B. MediaWiki macht.
Und gibt es da einen Schutz, dass das Setup nicht von mehreren Instanzen aufgerufen werden kann? Ich fürchte nicht, weiß es aber auch nicht genau.
Hm, bin nicht sicher was du meinst? Wenn es um mehrere User geht, die gleichzeitig das Setup aufrufen, dann ist das per se eigentlich kein Problem, denn am Ende bekommt jeder eine Konfigurationsdatei zum Download angeboten, aber nur der Admin der Site kann diese Datei per FTP wieder hoch laden. Und erst wenn nachdem die Datei hoch geladen wurde, funktioniert die Site normal. Fehlt die Datei, wird immer das Setup durchgeführt.
frase wrote:
Thu May 28, 2020 5:16 pm
Sollte jemand "test" haben und ein Update installieren, wird er gezwungen das PW zu ändern.
Okay, dann könnte man "test" als Password beim Login abweisen.
Gert wrote:
Mon May 25, 2020 3:33 pm
Als Software Entwickler ist man ja ein Getriebener.
:)
Christoph M. Becker – Plugins for CMSimple_XH

Gert
Posts: 3075
Joined: Fri May 30, 2008 4:53 pm
Location: Berlin
Contact:

Re: [VOTING] XH 1.6.10

Post by Gert » Fri May 29, 2020 6:26 am

Hallo,

da es in diesem inzwischen 8 Seiten langen Thread zunehmend unübersichtlich wird, will ich jetzt mal versuchen, ein wenig Ordnung in das bisher zusammengetragene zu bringen.

================================

Grundsätzlich gibt es 2 Varianten:

- externes Script (setup.php - Gert)
- kein externes Script (Holgers Vorschlag)

================================

Beide Varianten kann man:

1. sicher gestalten

- Erzeugung einer Datei (configSetup.php), die zu config.php umbenannt werden muss (Gert)
- Bereitstellung einer Datei als Download, die hochgeladen werden muss (Holger)

In beiden Fällen ist eine abschliessende Aktion per ftp notwendig.

2. komfortabel gestalten

Dabei gibt es eine zeitliche Lücke, in der CMSimple angreifbar ist, von wenigen Sekunden (bei sofortiger Passwortvergabe) bis zu 5 min (wenn man nach dem Upload nichts tut). Die 5 min sind natürlich nur ein Beispiel.

Im Idealfall ändert sich in den ersten 5 min gar nichts für den User: Einloggen mit "test" und Passwort ändern.

Anmerkung:

Da ein Angriff in den ersten Minuten nach dem Upload äusserst unwahrscheilich ist, wäre die komfortable Variante durchaus akzeptabel. Alles ist besser als der derzeitige Zustand.

================================

Die 5 min kann man festmachen:

- an einer Dummy Datei, die nach 5 min bei der nächsten Aktion automatisch gelöscht wird (Gert)
- an einer vorhandenen Datei (Holger)

Anmerkung:

Wenn man eine vorhandene Datei überschreibt, wird filctime() NICHT geändert. Man muss also diese Datei zuerst löschen und danach erneut hochladen, um das Login mit "test" wieder freizugeben. Das kann zu Verwirrung und in der Folge zu unnötigen Supportanfragen führen. Deshalb favorisiere ich eine Dummy Datei, die spätestens nach 5 min bei der nächsten Aktion automatisch gelöscht wird.

================================

Aus diesen grundsätzlichen Möglichkeiten ergeben sich viele mögliche Kombinationen.

Nun müsst Ihr Euch einigen, was Ihr wie umsetzen wollt, und ich muss für mich entscheiden. Ich vermute mal, ich bin schneller ;)

Vielen Dank für die interessante Diskussion,

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services

olape
Posts: 1263
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: [VOTING] XH 1.6.10

Post by olape » Fri May 29, 2020 8:09 am

Gert wrote:
Fri May 29, 2020 6:26 am
Ich vermute mal, ich bin schneller
:mrgreen: Demokratie ist eben nicht immer gut. Da bist du im Vorteil.

Holger
Site Admin
Posts: 3236
Joined: Mon May 19, 2008 7:10 pm
Location: Hessen, Germany
Contact:

Re: [VOTING] XH 1.6.10

Post by Holger » Fri May 29, 2020 9:10 am

olape wrote:
Fri May 29, 2020 8:09 am
Gert wrote:
Fri May 29, 2020 6:26 am
Ich vermute mal, ich bin schneller
:mrgreen: Demokratie ist eben nicht immer gut. Da bist du im Vorteil.
:mrgreen:
Gert wrote:
Fri May 29, 2020 6:26 am
Vielen Dank für die interessante Diskussion
Ebenso. Wäre schön, wenn es öfter Mal dazu käme.

Post Reply