WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 26.07.2015 15:52:03

cwsoft
Member

cwsoft-addon-file-editor

Hi,

ich habe mein Addon File Editor Modul reaktiviert und eine erste WebsiteBaker CE Version auf GitHub bereit gestellt.
https://github.com/cwsoft/wbce-addon-file-editor

Eine angepasste Postits Version wird die nächsten Tage folgen.

Gruss cwsoft

Last edited by cwsoft (27.07.2015 21:06:37)


Account inactive since 2018/11/17.

Offline

#2 26.07.2015 15:55:38

florian
Administrator

Re: cwsoft-addon-file-editor

Genial, danke!

Offline

#3 27.07.2015 10:15:32

webbird
Administrator

Re: cwsoft-addon-file-editor

Kleine Anmerkung meinerseits: Der AFE _kann_ zu einem Sicherheitsloch werden, da er den Zugriff auf Dateien ermöglicht, an die man sonst nur per FTP dran käme. Ich weise deshalb darauf hin, weil genau das bei BC vorgekommen ist. Ursache war eine Sicherheitslücke außerhalb des AFE, nichtsdestotrotz sollte man das im Hinterkopf behalten.

Ich handhabe das jetzt so, daß ich den AFE nur installiere, wenn ich ihn brauche, und hinterher wieder entferne.


Ich habe eine Amazon-Wishlist. wink
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#4 27.07.2015 10:49:08

cwsoft
Member

Re: cwsoft-addon-file-editor

Hi,

denke den optionalen FTP-Layer in AFE verwenden nur ganz wenige, die auf schlecht konfigurieren shared hosting providern unterwegs sind. Dazu müssen die FTP-Zugangsdaten eingetragen werden, welche in der AFE Modul-DB im Klartext (anders gehts nicht) gespeichert werden.

Gruss


Account inactive since 2018/11/17.

Offline

#5 27.07.2015 10:56:14

webbird
Administrator

Re: cwsoft-addon-file-editor

Ich sprach nicht vom FTP-Layer in AFE. wink


Ich habe eine Amazon-Wishlist. wink
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#6 27.07.2015 18:04:02

cwsoft
Member

Re: cwsoft-addon-file-editor

@webbird: Habe Deine Antwort gelesen :-) Die BC-Lücke bezog sich auf externen FTP-Zugriff (nicht AFE). Meine Antwort bezog sich auf Dein Statement, dass Du AFE installiert solange es gebraucht wird und danach wieder löscht. Nach meiner Erfahrung verwenden 95% der AFE-Anwender den optionalen FTP-Layer gar nicht.

Sprich nur wer den FTP-Layer in AFE aktiviert (5% der Anwender) setzt sich der Gefahr aus, dass durch auslesen der WB-DB die FTP-Zugangsdaten in die Hände fallen. Würde aber mal sagen wenn man die WB-DB auslesen kann, sollte man a) zu der vertrauenswürdigen Nutzern gehören (z.B. Zugang zu Droplets, Admin-Tools), oder b) man sitzt eh schon tief in der Sch.. :-)

Grüsse


Account inactive since 2018/11/17.

Offline

#7 27.07.2015 18:21:50

florian
Administrator

Re: cwsoft-addon-file-editor

https://github.com/WBCE/WebsiteBaker_CommunityEdition/issues/19

Offline

#8 27.07.2015 19:20:04

webbird
Administrator

Re: cwsoft-addon-file-editor

@cwsoft: Das ist korrekt, aber nicht vollständig. Bei BC war es folgendermaßen: Durch eine Lücke konnte man die config.php runterladen, die beinhaltete das DB-Kennwort, der Hacker änderte das Kennwort des Admin Accounts und konnte sich im Backend anmelden. Und dort wiederum konnte er mit dem AFE dann supereasy seine Schadscripten hochladen. Hat mit dem FTP-Kennwort an dieser Stelle nichts zu tun.

Okay, mit dem Admin Zugriff hätte er auch den AFE nachinstallieren können, aber dazu ist noch etwas mehr Kenntnis des CMS notwendig als für das beschriebene Vorgehen.

Es ging mir auch nur drum, ein wenig Sensibilität im Umgang mit Powertools wie dem AFE anzuregen. wink


Ich habe eine Amazon-Wishlist. wink
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#9 27.07.2015 21:04:37

cwsoft
Member

Re: cwsoft-addon-file-editor

@Webbird: Die genauen Details des BC-Angriffs kenne ich natürlich nicht.

Nur soviel. Wenn ein Angreifer (oder Benutzer) Zugang zum Backend und den "Admin-Tools" hat, kann dieser eh beliebigen PHP-Code ausführen (Module: Code, Code2, Droplet, Notfalls SQL-Injektion mit Backshell). Da ist es dann auch Wurscht, ob er mit AFE eine Datei über eine "GUI" hochladen kann. Er kann dies ja auch einfach per: echo "Schadcode" > Datei tun und die Datei dann aufrufen ...

Generell gilt: Die WB-Admintools sind sehr mächtig. Wer Zugang zu Code/Code2 und Droplets hat, kann mit minimalem PHP-Anwenderwissen nach belieben schalten und walten wie er will.

Ich habe Deine Anregung aber aufgenommen und den Abschnitt Security in der README hinzugefügt.

Habe mir auch die Freiheit genommen AFE im Github Repo durch die aktualisierte wbce-afe Version auszutauschen (Quasi als Test ob mein Zugang zum Repo geht).

Gruss

P.S.: Ach ja. Sollten wir im Team beschliessen AFE fliegt wegen Sicherheitsbedenken raus, hätte ich kein Problem damit. Ich will/muss keinem was beweisen oder meinen Willen um jeden Preis durchsetzen  wink

Last edited by cwsoft (28.07.2015 00:05:47)


Account inactive since 2018/11/17.

Offline

#10 28.07.2015 11:11:52

webbird
Administrator

Re: cwsoft-addon-file-editor

Da hast Du recht. Wobei es in BC standardmäßig kein Codemodul gibt, aber wir sollten das vielleicht nicht weiter ausführen. wink Wie gesagt, mir ging es nur darum zu sensibilisieren. Womöglich ist mein Fall der einzige, der über den AFE stattfand. Man weiß es nicht.


Ich habe eine Amazon-Wishlist. wink
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#11 28.07.2015 13:28:07

cwsoft
Member

Re: cwsoft-addon-file-editor

Hi,

webbird wrote:

Da hast Du recht. Wobei es in BC standardmäßig kein Codemodul gibt

Nur aus reiner Neugierde. Ist das Droplets Module das im BC-Standardpacket enthalten ist im Vergleich zum WB-Droplet Modul noch in irgendeiner Hinsicht "abgesichert"? Mit Droplets kann ein "bösartiger" Angreifer ja auch nach belieben Schindluder treiben (PHP, MySQL).

Gruss


Account inactive since 2018/11/17.

Offline

#12 28.07.2015 13:59:21

webbird
Administrator

Re: cwsoft-addon-file-editor

Man kann Rechte auf Droplets vergeben, ansonsten ist eine Absicherung kaum möglich. Wenn man es noch weiter treiben will, könnte ein Angreifer auch ein Modul bauen, das Schadcode enthält, und dieses installieren. Ist man erst im Backend, ist so ziemlich alles möglich. Nur die Hürde ist halt etwas höher.


Ich habe eine Amazon-Wishlist. wink
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#13 28.07.2015 23:02:46

norhei
Developer

Re: cwsoft-addon-file-editor

Also, wenn jemand BE Zugriff bekommt mit Admin Rechten hat er in Jedem Fall den Jackpott. Das System liegt sozusagen Nackig vor Ihm. Er kann einfach modifizierte Module installieren oder  z.B. ein Code Modul, kann Droplets schreiben , was auch immer . Wenn ein Angreifer bis dahin kommt haben Wir verloren , kein Wenn und Aber.

Was können Wir also tun ?
1. Verhindern das Andere als vom Admin festgelegte Nutzer auf solche Tool Zugriff bekommen.
2. Verhindern das irgendjemand von extern auf diese Tools Zugriff bekommt
3. Solche Tools entfernen.   

3. Ist nicht akzeptabel da diese Tools gebraucht werden. Man muss Sie nicht alle im Core mitliefern das Vermindert die Anzahl der Schadensfälle wenn mal was Schiefgeht. Nicht jeder Braucht Code, AFE und einige andere. Also einfach nicht Alles im Core mitliefern, sondern ein gutes Modul Repo anbieten.

2. Ist eigentlich Standard , wir wollen ja auch nicht das sich jemand Core Funktionalitäten von Außen kapert. Kann halt Passieren, muss dann gefixt werden.

1. Hier geht ne Menge aber ich bin mir nicht völlig sicher mehr wie das bei WB geht.
  a. Dafür Sorgen das diese Module nach der Installation nur für Admins zur Verfügung stehen.
  b. für Vorinstallierte gilt das gleiche.
  c. Manche Tools einfach für alles außer Gruppe Admin sperren.
  d. vielleicht bei der Installation ein Warnhinnweis. 
  e. Die Tabelle Gruppenrechte von WBCE so ändern das erst einmal beim neu erstellen Alles deselektiert ist oder zumindest diese Module deselektiert sind.


Ich glaube Mehr geht nicht außer auf diese Module zu verzichten.

Offline

#14 28.07.2015 23:09:07

norhei
Developer

Re: cwsoft-addon-file-editor

Ahhh nochwas... das eval() aus den Modulen entfernen. Das WB Core Team hatte mit haufenweise zusätzlich eingefügten eval() zu kämpfen(Seite war ja gründlich gehackt). Wenn man weiß das im Original keine Evals drin sind, dann weiss man sofort , das gehört da nicht hin. Zumal Eval deutlich langsamer ist.
Man kann dann auch automatisierte Warnmechanismen auf Eval ausweiten. Einmal Am Tag ein kleines Grep, und wenn ein Bas64 oder ein eval() auftauchen .... ALAAAARM. Mach Strato zum Beispiel so mit Base64 decode.

Offline

#15 13.02.2016 23:57:27

cwsoft
Member

Re: cwsoft-addon-file-editor

Habe endlich etwas Zeit gefunden um die README und die Screenshots etwas zu überarbeiten.

Erster offizieller release für WBCE.

Last edited by cwsoft (14.02.2016 10:54:44)


Account inactive since 2018/11/17.

Offline

#16 22.05.2016 16:43:55

cwsoft
Member

Re: cwsoft-addon-file-editor

Frage in die Runde. Nutzt AFE noch jemand regelmässig, oder werden andere Tools wie FTP, Browser, PHP Filemanager verwendet. Was stört an AFE, was wird vermisst.

Prüfe gerade ob sich ein Update noch lohnt. Gibt ja zwischenzeitlich gute Alternativen und wir sind auch nicht in 2008 stehen geblieben - obwohl AFE für 2008 recht gut war  tongue

Meinungen?

Gruss cwsoft

Last edited by cwsoft (23.05.2016 00:48:04)


Account inactive since 2018/11/17.

Offline

#17 22.05.2016 17:57:57

florian
Administrator

Re: cwsoft-addon-file-editor

Also ich verwende den AFE durchaus oft - um mal schnell was nachzuschauen oder zu fixen ohne erst FTP und Notepad++ bemühen zu müssen. Einige Module bringen zudem selbst keine Möglichkeit mit, z.B. Styles zu bearbeiten und verweisen ausdrücklich auf den AFE.

Praktisch finde ich auch die Funktion, sich Vorlagen und Templates als Zip herunterzuladen, das kommt häufiger vor, dass ich Anpassungen vorgenommen habe und diese nun auch auf anderen Websites einsetzen will und so gleich einen Installer dafür habe.

Offline

#18 22.05.2016 21:11:07

petero
Member

Re: cwsoft-addon-file-editor

Ich möchte ihn auch nicht missen

Offline

#19 22.05.2016 22:35:35

sillar
Member

Re: cwsoft-addon-file-editor

Ich benutze ihn auch öfter...

Offline

#20 23.05.2016 00:04:11

cwsoft
Member

Re: cwsoft-addon-file-editor

Anbei eine Bugfix Version 3.0.1 für AFE (WBCE).

Diese Version stellt die Funktion der Downloads von Addons (z.B. für Backup) unter PHP7 wieder her. AFE 3.0.1 läuft aber auch noch ganz normal mit PHP5. Danke an Florian für den Bugreport auf GitHub.

P.S.: Mist, sieht so aus als könnte ich AFE noch nicht in Rente schicken thumb_up


Account inactive since 2018/11/17.

Offline

#21 23.05.2016 10:29:18

florian
Administrator

Re: cwsoft-addon-file-editor

Danke. Ich habe den Eintrag im AOR aktualisiert.

Offline

#22 22.06.2016 13:38:58

rjgamer
Developer

Re: cwsoft-addon-file-editor

Hi,

du nutzt mit toggle() eine veraltete jQuery Funktion:

deprecated: 1.8, removed: 1.9

Quelle: https://api.jquery.com/toggle-event/

Dein pöhser Code:

[== JavaScript ==]
	$('#trigger_modules, #trigger_templates, #trigger_languages')
		.toggle(
			function() {
				var id = $(this).attr('id').replace(/trigger_/, '');
				document.cookie = 'AFE_' + id + '=1';
				setViewMode(id);
			},
			
			function() {
				var id = $(this).attr('id').replace(/trigger_/, '');
				document.cookie = 'AFE_' + id + '=0';
				setViewMode(id);
			}
		);

Ich werde gucken ob ich gleich einen Fix schreiben kann und mach dir dann bei GitHub ein Pull Request. Dann würde wohl dein Modul auch sauber mit Fraggy funzen...

UPDATE: Hab einen Pull Request mit diesem Fix erstellt:
https://github.com/cwsoft/wbce-addon-file-editor/pull/4

Hier noch der Code:

[== JavaScript ==]
	$('#trigger_modules, #trigger_templates, #trigger_languages').click(function() {
		var $this = $(this);
		if($this.hasClass('clicked')) {
			var id = $this.attr('id').replace(/trigger_/, '');
			document.cookie = 'AFE_' + id + '=0';
			setViewMode(id);
			$this.removeClass('clicked');
		} else {	
			var id = $this.attr('id').replace(/trigger_/, '');
			document.cookie = 'AFE_' + id + '=1';
			setViewMode(id);
			$this.addClass('clicked');
		}
	}); 

Last edited by rjgamer (22.06.2016 13:47:18)

Offline

#23 22.06.2016 21:55:26

cwsoft
Member

Re: cwsoft-addon-file-editor

@rjgamer: Danke für das Update. Werde es am WE einpflegen und ne neue Version veröffentlichen.

Gruss cwsoft


Account inactive since 2018/11/17.

Offline

#24 22.06.2016 22:22:53

rjgamer
Developer

Re: cwsoft-addon-file-editor

Hi,

kein Ding. Scheint aber weiterhin noch ein Problem zu geben: http://forum.wbce.org/viewtopic.php?pid=5343#p5343

Ich guck es mir morgen an und werde den Pull Request vielleicht nochmals aktualisieren.

Gruss

Offline

#25 15.07.2016 15:41:13

cwsoft
Member

Re: cwsoft-addon-file-editor

cwsoft wrote:

@rjgamer: Danke für das Update. Werde es am WE einpflegen und ne neue Version veröffentlichen.

So jetzt habe ich es sogar noch vor dem Wochende geschafft wink

AFE 3.1.0 steht zum Download bereit. Vielen Dank an rjgamer für den Fix für die veraltete jQuery toggle Funktion.

P.S.: Die Anforderungen an Addons um in AFE gelistet zu werden (Addon in WBCE Datenbank gelistet, Addon hat eine index.php und evtl. info.php im Wurzelverzeichniss des Addons) entsprechen noch immer den alten WB 2.7 Addon-Guidelines. Wenn gewünscht können diese Anforderungen (index.php, info.php Prüfung) in einer zukünftigen Version von AFE auch entfallen.


Account inactive since 2018/11/17.

Offline

Board footer

Powered by FluxBB

up