Antworten auf deine Fragen:
Neues Thema erstellen

Newsbereich (mit TinyMCE) doppelt absichern?

Z

zoomify

Guest

Hallo zusammen,

ich habe eine Frage, weil ich ziemlich verunsichert bin.

Uns zwar habe ich einen passwortgeschützten Newsbereich. In den Newsbereich gelangt man erst, wenn man sich auf einer Anmeldeseite mit Namen und Passwort eingeloggt hat. Das Ganze ist in PHP umgesetzt. Lasst uns einfach mal davon ausgehen, dass das ausreichend geschützt ist.

So, jetzt habe ich für die Textfeldeingabe des Newsbereichs tinymce als Editor hinzugefügt und für diesen ein Bilduploadplugin namens jbimages von justboil.me.

Das alles funktioniert prima, doch verunsichert mich der Autor des plugins mit folgendem Sicherheitshinweis:
"In case, the TinyMCE’s folder is not protected with HTTP Authorisation, you should require is_allowed() function to return `TRUE` if user is authorised, `FALSE` - otherwise."


Was meint er mit "folder is not protected with HTTP Authorisation"? Einen Schutz per .htaccess?
Genügt denn nicht, dass das Textfeld und somit Tinymce mit dem Plugin ausschließlich in einem passwortgeschützen Bereich verwendet wird?
Weil mit dem vorgeschlagenen is_allowed überprüft er doch auch nur die Korrektheit von Name und Passwort.

Was meint Ihr: genügt es das Eingabeformular mit Tinymce in einem passwortgeschützen Bereich zu verwenden oder muss zusätzlich noch is_allowed verwenden oder gar die Seite mit der Passwortabfrage zusätzlich per .htaccess schützen?

Tausend Dank für eure Meinung!
 

Curanai

Aktives Mitglied

AW: Newsbereich (mit TinyMCE) doppelt absichern?

Hallo zoomify,

Du bekommst jetzt keine "klare Antwort", sondern eine, um Dir ein Bild zu machen.

Es gibt ein bekanntes CMS (fänt mit "J") an - dort ist ein Editor namens "JCEEditor" hoch im Kurs (genauso wie eine noch immer weit verbreitete, alte Version dieses CMS auf Produktivsystemen). Der ist intuitiv, schnell, bequem ... perfekt für so eigentlich jeden.

Dieser Editor ist "zugänglich", wenn man sich am CMS angemeldet hat - ansonsten soll man ja nur Artikel sehen ... logisch, oder?! Also keine Textarea für Eingaben, sondern schlichtweg die fertig geschriebenen Artikel.

JCEEditor ist das ultimative Einfallstor* in genau dieses CMS - obwohl man den doch gar nicht aufrufen kann? Das Problem bei dem Editor ist, dass man ihn dennoch (!) von außen ansprechen kann ... und er antwortet. Und der Bilderupload funktioniert beim Bedienen auch noch, wodurch ich mein arglistiges PNG auf den Server laden kann. Da ich weiß, wo JCE mein Bild ablegt (temporär), kann ich das auch noch im Browser aufrufen ... voila, WebShell lässt grüßen und ich habe eine Domain kompromitiert (habe vollen Zugriff auf die Dateien). [Anmerkung an PSD-Mods: Sollte das zu detailliert sein, bitte entfernen!]

"is_allowed" - ohne den Editor gesehen zu haben - scheint also eine interne Funktion zu sein. Wird die immer geprüft? Dann solltest Du Dein Login daran "anlehnen" (nix anderes steht da) und bei erfolgtem, erfolgreichen Login 'true' rausgeben. Ob ich dann - dank OpenSource - dennoch tinyMCE dazu ermutigen kann, einen Upload/Speicherung auszuführen, wenn ich eine POST-URL schicke ... ?! Das liegt an den Entwicklern von tinyMCE. Ob es einen Exploit für tinyMCE gibt? ... wer weiß?! ;) (ich weiß es jetzt gerade nicht)

Mein Rat: Immer seeeeehr vorsichtig mit Drittanbietern, die eingebunden werden. Exploits sind schnell und die Anwender solcher erbarmungslos.

Wie Du aber auf der "justboil"-Seite sehen kannst, ist dort ein Beispiel für is_allowed() - hier wirst also mit Deinem Login konform gehen dürfen. Hättest Du weitergelesen, wäre in Deinem Posting oben noch folgender Satz: "is_allowed() is found at plugins/jbimages/is_allowed.php of your TinyMCE installation."

Alles da - inkl. Beispiel ... Attacke und viel Erfolg!!


Randnotiz: Sollte ein gewisser Ulmer jetzt sehen, dass ich wieder über "sein 'J'" schimpfe, so tue ich dies nicht - geht nur um den JCE. ;)


* Status aktuell unbekannt; wurde CMS-seitig erst vor einiger Zeit "verändert" (da neue Verzeichnisstruktur).
 
Z

zoomify

Guest

AW: Newsbereich (mit TinyMCE) doppelt absichern?

Hey Curanai,

vielen Dank für deine Antwort und vor allem für deine Mühe mit deiner ausführlichen Antwort.
Das justboilme-Beispiel von is_allowed habe ich gelesen und deshalb ja festgestellt, dass dies nichts weiter tut als das Vorhandensein eines korrekten Login-Namen- und - passwort zu überprüfen. Diesen Schutz hat mein Newsbereich ja...

Ok, ich sehe, dass du seeehr große Bauchschmerzen mit den Drittanbietern hast...

Was sagst du du denn zu einem zusätzlichen .htaccess-Schutz?
Ich habe es Testweise eben probiert und die .htaccess in den Tinymce-Ordner gelegt mit dem Ergebnis, dass die Tinymce-Funktionen (Toolbar usw.) nur angezeigt werden, wenn die zusätzliche htaccess-Passwortabfrage korrekt verläuft.

Würde das deine (und somit meine) Bauchschmerzen lindern?

Ich danke dir!
 

Curanai

Aktives Mitglied

AW: Newsbereich (mit TinyMCE) doppelt absichern?

Hi erneut,

Du denkst zu kompliziert. :D Das "is_allowed()" dient als Beispiel für User, die noch gar keinen Login-Bereich haben bzw. wo eine Autorisierung eben nicht (!) erfolgt. Wenn Du Deinen tinyMCE bereits mit einer eigenen Lösung verriegelt hast, ist das für den Otto-Normal-Verbraucher schon ein Hindernis.

Naja, was heißt große Bauchschmerzen? Ich hab schon alles erlebt ... mit vermeintlich "sicherern Tools" für Administration, Content, Uploads, Exploits - von Black-Hat-SEO per iFrame, JS-Backdoor-Downloader, feindliche Übernahmen, Mail-Zombies, stealth proxies ... ach, die Liste ist lang (oder ich schon zu lange dabei ^^).

htaccess ... hmm ... tja ... "doof" gibt es bei denen auch (bspw. nervt hier regelmäßiges Ändern von Passwörtern - empfohlen! - oder wenn Du "mal eben" was eingeben willst und Dein Passwort ein "vernünftiges" (daher nicht auswendiglernbar) ist [z. B. Tippfehler doch noch gesichtet]). Wenn jetzt noch mehr User in den Bereich sollen und dürfen, sind Anfragen wie "ich hab mein Passwort vergessen" legendär. ;)

Vielleicht erkennst Du, dass es ein schmaler Grad zwischen "optimal bedienbar" und "sicher" ist ... welchen Weg Du daher begehst, überlasse ich ganz und allein Dir. :D So gesehen habe ich also keine Bauchschmerzen in dem Sinne, aber Du musst eben zwischen "Bequemlichkeit" und "sicher" einen Kompromiss bilden, den Du dann wieder vertreten kannst/musst.

Übrigens: Das J-CMS hat eine Warnung bereits letzte Woche verschickt, dass gefälligst alle dringend auf die neueste Version hoch müssen (!!!). Der Exploit, der gezielt für das CMS gilt (nicht Plugin), zieht auf allen Versionen unter 2.5.14 und 3.1.5 ... da hilft keine htaccess o. ä. ;)

Ja, zugegeben ... wenn Du da Deine Urlaubsfotos zeigst, hätte ein Aggressor daran kein Interesse - nur am Webspace und den dortigen Möglichkeiten (E-Mails, iFrame blah). Ist das aber mit Shop-Anbindung, b2b, Kreditkartendaten ... ei ei ei ...

"Qual der Wahl" trifft es also ... ich wünsche Dir viel Erfolg und das richtige Händchen bei Deiner Wahl.
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
118.635
Beiträge
1.538.449
Mitglieder
67.556
Neuestes Mitglied
Ggirl
Oben