phpwcms Forum

[pepe]

Na ja, flip-flop, sooo ganz viele user können das nicht sein, die hier rumschwirren... meist sind mehr bots an Bord als user

[Jensensen]

[EDIT] Ah, jetzt verstehe ich: Du meinst die Passwörter direkt aus der phpwcms_user Tabelle, oder? [/EDIT]

[kleinlaut] ja, die bleiben wohl übrig.

Tut mir leid, aber verstehe ich immer noch nicht.

ähem, hatte irrtümlich die daten aus der conf im hinterkopf, die eben dort und nicht in der DB sind. mir tut's leid, sorry!
Hast/Habt Recht. Alles okidoki

[jscholtysik]

Hi Jens,

nein, eigentlich nicht okidoki. Lies Dir mal diese Artikel auf Wikipedia durch:

http://de.wikipedia.org/wiki/Rainbow_Table

und

http://de.wikipedia.org/wiki/Salted_Hash

Dazu hat Stefan folgendes gefunden:

OG speichert die Passwörter in der Standard PHP-MD5-Methode, also ohne Salt mittels z.B. der Datei profile.updateaccount.inc.php...

Vielleicht sollten wir OG dazu mal befragen...


Joachim

[flip-flop]

Das ist schon lange bekannt. Dazu muss jemand irgendwie an die DB kommen oder einfacher nur an die config, entweder durch cross side scripting auf dem Server selbst, FTP Zugang oder direkt über die shell.

Das ist nun der erste reguläre Fall, in dem es möglich wäre/war als User an die DB zu kommen.

In den meisten Fällen ist es wirklich einfacher die config zu vereinnahmen, wie bei fast allen System die serverseits laufen.

Knut

[DF6IH]

Da gibt es doch eine Variable die abcheckt ob der User ein Admin ist, wenn man die aussen drüberstülpt können nur admins an die DB.. wer admin ist darf eh alles... Das ganze in einem Cron wäre eh viel leckerer .. weil da kann man es nicht vergessen... *anmerk*

[Jensensen]

auch gut!
aber 'n Cron-job ist nu ma nix für kleine shared web würstchen.
der stefan/jo wird's schon richten...

*end-anmerk*

[DF6IH]

http://cronjob.de

[jscholtysik]

Hi Jürgen,


wenn, dann wollen wir das ja auch über das Modul steuern, und nicht über eine externe Lösung...


Joachim

[lindesbs]

Da gibt es doch eine Variable die abcheckt ob der User ein Admin ist,

Das ist im Code eine Konstante und nennt sich IS_ADMIN und es wird damit die Sessionvariable $_SESSION["wcs_user_admin"] abgefragt.

wenn man die aussen drüberstülpt können nur admins an die DB.. wer admin ist darf eh alles...

einfach drueberstuelpen ist nicht so.
Ich weiss, das eine Userverwaltung wirklich SEHR aufwaendig ist. Die Verwaltung selbst ist pillepalle, aber die Faelle und Kontrollen einzubauen. Es ist ja nicht NUR Anzeige/nicht Anzeige. Es muessen ja auch Funktionen gesperrt werden.

Wenn OG wirklich die Userverwaltung mit reinbringt, ist das eine enorme aufwaendige Sache, die grossen Lobes bedingt.

[Jensensen]

[x] shared web würstchen

[Jensensen]

for this after-wow-now-we-have-user-role-

phpwcms meets...

-int-guests-friends-party

i'd suggest a central european - central de --> location like --> münsterland
welcome!

[DF6IH]

wie im Hühnerstall .. hier

Drüberstülpen = Modul gibt es nur für admin ... Ha? Licht an ?

Und den phpwcms cronjob, den will ich dann auch.. kann ich garnicht abwarten

[markus s]

belasst die diskussion dazu hier.
dem user zuliebe... der sich das tool einverleiben möchte.
grüße

[Oliver Georgi]

Ich gebe Euch mal eine kurzes Feedback zum Modul - insgesamt habe ich ca. 2 Minuten damit zugebracht - länger für das Schreiben dieses Posts.

Mein kurzes Fazit:

Liebe Entwickler,
beschäftigt Euch bitte noch mal intensiv mit dem Thema Sicherheit, Injections, Handhabung globaler Variablen, was passiert, wenn Variablen nicht definiert sind usw. Euer Script reißt Lücken in das Gesamtsystem, indem Ihr Euch an vielen Stellen über gängige Schutzmechanismen hinwegsetzt.

Beispiel getDump.php:

Code: Select all

if ($_GET["ID"]!="")
{
   CreateBackup($_GET["ID"],true);
}

- keine Prüfung der $_GET Variablen -> nehmen und mal eben 1:1 durchreichen

Code: Select all

   if (!defined('PHPWCMS_ROOT'))
   {
      include_once ('../../../config/phpwcms/conf.inc.php');
      include_once ('../../../include/inc_lib/default.inc.php');
      include_once (PHPWCMS_ROOT.'/include/inc_lib/dbcon.inc.php');
      include_once (PHPWCMS_ROOT.'/include/inc_lib/general.inc.php');
   }

- Hier umgeht ihr mal eben die komplette Prüfung!

Code: Select all

global $_GET;

- $_GET ist eine sogenannte Superglobale = immer Global!
- http://www.php.net/manual/de/language.v ... lobals.php

Desweiteren geht Ihr in keiner Weise auf unterschiedliche Charsets/MySQL Versionen usw. ein.

Ich habe da noch eine settings.txt gefunden, mit allen schönen Werten, die ich zum Betrieb brauche und die kann ich einfach so vom Webserver abfragen. Ohne Schutz.

Den Rest schau ich mir nicht weiter an.

@Joachim
Sorry für meine "Arroganz" Joachim. Aber dieses Modul ist mir Bestätigung genug.


Ich rate dringend vom Einsatz auch zu Testzwecken ab!


Oliver

[lindesbs]

Aufgrund diverser Gruende, werde ich mit phpwcms in der Nutzung und Entwicklung aufhoeren und nach einer Alternative suchen.

Eine erste Vorstellung eines Moduls hat immer Probleme. OG weiss doch garnicht, was ich hier auf meinem Rechner noch gerade entwickle. Das dieses Modul auch Luecken aufreisst, ist mir klar.
Es war aber die erste Moeglichkeit der Community zu geben, wonach sie verlangt.
Auch phpwcms war nicht nach dem ersten Release fehlerfrei. Auch das CMS ist gewachsen und verbessert worde. Ich erinner mich noch an einen Artikel im ct NewsTicker http://www.heise.de/newsticker/Luecken- ... dung/72253

Die Kommentare waren nicht gut. Aber das ist normal. Sowas kann passieren.

Mein Ansatz als Programmierer war nicht, von Anfang an ein perfektes Modul hinzulegen. Das war und ist ein Communitymodul, an dem ALLE ihre Ideen und Wuensche einfliessen lassen koennen.

Ich werde jedenfalls aufgrund der Antwort von OG meine Entscheidungen faellen, und nicht mehr weiterentwickeln.
Wenn ich ein adaequates System gefunden habe, wende ich mich dem zu.

Schade, hatte ich nicht so erwartet.
Es wird offensichtlich nicht gewuenscht, das die Community sich hilft und versucht, das System nutzbarer zu gestalten.

Ich wuensche Euch trotzdem noch viel Spass und Erfolg mit dem System

Stefan aka lindesbs