WBCE CMS Forum

norhei

Developer

IDKEY gefixt.

IDKEY sollte jetze gefixt sein.
Nur Mtab , sorry aber "single tab" geh ich ned mehr ran, das ist so vermurkst .... sollte man besser entfernen.

Das ganze Dingen muss nochmal überarbeitet werden, aber so hören erst mal die zufälligen Sicherheitsverletzungen auf.

florian

Administrator

Re: IDKEY gefixt.

Singletab -> raus damit. Ich habe immer mindestens zwei WB-Tabs offen (oft noch mehr: die Seite, die ich gerade bearbeite + Medien + Seite, von der ich was kopiere + AFE), und ich denke, das wird jeder halbwegs versierte WB-Poweruser genauso handhaben.

---

Code allein macht nicht glücklich. Jetzt spenden!

easyuser

Mitglied

Re: IDKEY gefixt.

@norhei und @florian:
+1

florian

Administrator

Re: IDKEY gefixt.

Ha! Wir sind die "Sicherheitsverletzung!11elf!1!" los, die Leute werden uns die Bude einrennen 

---

Code allein macht nicht glücklich. Jetzt spenden!

norhei

Developer

Re: IDKEY gefixt.

Freu dich nicht zu früh, wer weiss was sich so in den Tiefen versteckt , Mein MTab original Entwurf wurde so einige Male vergewaltigt ... hey Polizei... ANZEIGE!!!

florian

Administrator

Re: IDKEY gefixt.

Hier sollte das hin
https://www.google.de/search?q=anzeige+ist+raus

---

Code allein macht nicht glücklich. Jetzt spenden!

webbird

Administrator

Re: IDKEY gefixt.

Wenn man den halbwegs sauber rausoperiert kriegt, sofort raus damit... ansonsten bis zum nächsten Release warten.

---

Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

norhei

Developer

Re: IDKEY gefixt.

Wenn jemand so freundlich ist das Admin Modul anzupassen rück ich Ihm nächste Woche auf den Leib .

webbird

Administrator

Re: IDKEY gefixt.

Sollte das nicht ganz raus?

---

Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

norhei

Developer

Re: IDKEY gefixt.

Habs wegen der Versionierenung noch mal auf halt .  Aber das Admin Modul braucht man für die Einstellungen wie Fingerprinting , IP Octets....Grade wennn man WB in sicheren Bereichen wie Intranets einsetzen würde sind die extrem wichtig. aber auch sonst wenn man etwas mehr Sicherheit benötigt. Clienten mit dauernd wechselnden IPs sind nicht unbedingt vertrauenswürdig . Oder wenn mal ein Browser Bug zuschlägt und wie beim letzten mal der Chrome ständig wechselnde Benutzerkennungen ausgibt, dann kann man so das Fingerprinting deaktivieren. (Wenn man will).
Wir können so Einstellungen auch in die Config packen, aber brauchen tun wir sie.

Wir können generell mal über das Konzept der Config nachdenken. Andere CMS schreiben das in ein Unterverzeichniss , weil man wenn z.B. Apache als Modul läuft nicht immer  Schreibzugriff auf das Root Verzeichniss hat, gleiches Problem warum es nicht immer so einfach ist das /pages/ Verzeichniss ins Webroot zu verlegen.

Eventuell kommt da noch die ein oder andere Einstellung hinzu, wenn ich das überarbeite , das in die Config verlegen (oder wenigsten dort zu ermöglichen)ist vielleicht nicht blöd, weil man ja eventuell nicht mehr reinkommt, wen ein Browser nochmal komische Dinge macht (gut einfach anderer Browser )

Sicherheit ist leider immer ein wenig lästig, aber man sollte die Belästigung minimieren.
Eventuell werde ich auch noch eine weitere Variante anbieten , die dann eine richtige Token(FTAN) Verwaltung mitbringt , sowas braucht mehr Speicher als die Selbst zertifizierenden, aber ist nochmal eine Stufe sicherer(So wie Singletab einmal gedacht war, nur hat DV das ned hinbekommen oder wollte es einfach ned ). Das mit dem Speicher  ist auch wirklich der einzige Nachteil. Bei einem sehr aktiven User muss das halt schon mal einige Tausend Token in der Session mitnehmen. Das wäre dann wirklich maximum Protection bei maximalem Komfort.  Würde es trotzdem nicht als Default nehmen, aber für Shops und dergleichen macht sowas Sinn.

webbird

Administrator

Re: IDKEY gefixt.

Clienten mit dauernd wechselnden IPs sind nicht unbedingt vertrauenswürdig

Aber auch nicht unbedingt vertrausensUNwürdig. Meine IP ändert sich auch bei jedem Zugriff. Nennt man Loadbalancer. Das haben viele Firmen. Da ist nichts Böses dabei.

---

Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

norhei

Developer

Re: IDKEY gefixt.

Sagen wir mal , nicht für sicherheitsrelevante Seiten. Im Teil der die Kreditkarten Daten managed würde ich sogar weiter gehen und nur Statische IP zulassen und verschlüsselte Übertragung.

Aber das schöne soll ja sein, das jeder das einstellen kann wie er will :-) Und die Funktionellste Variante ist erst mal Standard.

webbird

Administrator

Re: IDKEY gefixt.

Also soll da nur die Einstellung Multi-/Singletab raus?

---

Ich habe eine Amazon-Wishlist. Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

norhei

Developer

Re: IDKEY gefixt.

Würde glatt sagen fürs erste Release einfach drin lassen sonnst müssen wir auch um Upgradescript darauf Rücksicht nehmen, und den Wert Umstellen .
Zumal ich den Schalter vielleicht ganz  gerne behalten möchte, denn Ich hab hier noch eine "Singletab" auf Halde , die ohne die Einschänkungen auskommt .
Sprich die kann Multitab , bringt noch mehr Sicherheit, aber braucht halt mehr Speicher. Da werden die FTAN dann so ähnlich in der Session gemanaged wie jetzt nur die IDKEYS.  Das währe vermutlich ein Idealer Ersatz für die Singletab.  Mehr Sicherheit aber keine Nachteile, ok eventuell kann man nicht die gleiche Seite in verschiedenen Tabs mehrfach absenden, aber das kann ja schon recht sinnvoll sein.(aber auch das könnte man einstelllbar machen).

florian

Administrator

Re: IDKEY gefixt.

Also, ich fasse mal zusammen:
- erstes Release: Multitab gefixt, Singletab so buggy wie vorher
- nächstes Release: Singletab gefixt
- späteres Release: Tokenbasiertes System

Das Thema "Wir können generell mal über das Konzept der Config nachdenken" bitte ggf. in eigenem Thread diskutieren (ich persönlich sehe das zwiespältig)

---

Code allein macht nicht glücklich. Jetzt spenden!

norhei

Developer

Re: IDKEY gefixt.

Singletab ist nicht Buggy , das ist Feature (und Absicht)   

Nächstes Release Singletab raus und durch was mit extra Sicherheit aber komfortabel ersetzt.

Soweit der Plan.

Token ist nur ein anderer Name für  FTAN (Form Trans Aktions Nummer) , noch andere nennen das Nonce.
Alles gleiches Prinzip, anderer Name.  Eine nicht ratbare Zahl wird mit dem Formular mitgegeben und hinterher überprüft.
Damit ein Angreifer nicht einen eingelogten Benutzer mithilfe eines Links zum Absenden eines Formulars bewegen kann, da er ja keinen Zugriff auf die vorher für den Benutzer generierten Nummern(Token) hat. Wenn er das hätte würde das heißen der Browser ist übernommen und dann sind CSRF Attacken das kleinste Problem weil er dann einfach die Session übernehmen kann, da würde dann ein Fingerprinting vielleicht noch greifen.