Sie sind nicht angemeldet.

[Tip] Keine Sicherheits Lücke - Temp

  • 1
  • 2

peterk

cms2day Projekt Spender

  • »peterk« ist männlich
  • »peterk« ist der Autor dieses Themas

Beiträge: 102

CMS Version: warte auf 3.9.1

  • Nachricht senden

1

Freitag, 26. Februar 2010, 22:58

Keine Sicherheits Lücke - Temp

Größe Sicherheits Lücke im Backup verwaltungs teil
sorry wenn ich das jetzt mal so sage weider aber wenn man auf dem server under cms2day im temp archive dann das backup liegn läste könnte es sich jeder zippen ich wäre dafür das der bereich besser geschützt würde sicher könnte man es durch eine htacess sicher aber ist nicht der sinn.

ich würde vorschlage statt erstellen einer txt. file wäre besser eine php file die das backup ausgibt die php file sollte durch denn admin login geschützt seitn.



Mit dem Leben Lachen, mit dem Lachen Leben lol
Werbung

.FitB

Forum Techniker

Beiträge: 86

  • Nachricht senden

2

Freitag, 26. Februar 2010, 23:00

Wieso wird da eine txt erzeugt und keine saubere sql Datei?

Das sicherste wäre es wenn die per mail() verschickt wird und man in dem Adminbereich hat eine hochzuladen welche dann sofort importiert wird, anstatt das die online gespeichert bleiben...

böse Sache da muss ich ihm recht geben.
Werbung

Co.Re

Fortgeschrittener

  • »Co.Re« ist männlich

Beiträge: 254

CMS Version: 3.9.2 FINAL MOD

Wohnort: 61138 Niederdorfelden

Beruf: Soldat

Paypal:

  • Nachricht senden

3

Freitag, 26. Februar 2010, 23:03

Dafür müsste aber erstmal jemand den Dateiname herrausfinden.
Und das wird bei einem Dateiname mit Timestamp schwierig ;)

Aber ich werde es mal Intern ansprechen..

Gruß
Sandro
Aktuelle Module für cms2day 3.9.2:
Userverwaltung / Interner Bereich :: RELEASED
Adminrights :: RELEASED
Content-Boxes :: RELEASED
Statistik :: 60%
Termin- & Eventkalender :: 100%
Werbung

Carsten8

Schüler

  • »Carsten8« ist männlich

Beiträge: 61

CMS Version: 3.9.2

Paypal:

  • Nachricht senden

4

Freitag, 26. Februar 2010, 23:05

wenns der aktuelle timestamp ist, lässt sich das doch sehr leicht automatisch rausfinden (einfach alles vom aktuellen timestamp aus in 1er Schritten nach hinten), oder irre ich mich?
Aktuelle Projekte:
Adminberechtigungen - 100% (siehe Shop)
Werbung

peterk

cms2day Projekt Spender

  • »peterk« ist männlich
  • »peterk« ist der Autor dieses Themas

Beiträge: 102

CMS Version: warte auf 3.9.1

  • Nachricht senden

5

Freitag, 26. Februar 2010, 23:07

ich sage dazu nur inteltumper wenn jemannd denn pfad weis list er das archive aus nützt einem der timce code nichts

aber ich guck mir eben die funktion an



Mit dem Leben Lachen, mit dem Lachen Leben lol
Werbung

.FitB

Forum Techniker

Beiträge: 86

  • Nachricht senden

6

Freitag, 26. Februar 2010, 23:13

Zitat von »Co.Re«

Dafür müsste aber erstmal jemand den Dateiname herrausfinden.
Ich bin noch sehr unbeholfen was php & sql angeht, aber nen Bot der die die Backups ausliest, schreib ich dir sogar ;)
Werbung

Co.Re

Fortgeschrittener

  • »Co.Re« ist männlich

Beiträge: 254

CMS Version: 3.9.2 FINAL MOD

Wohnort: 61138 Niederdorfelden

Beruf: Soldat

Paypal:

  • Nachricht senden

7

Freitag, 26. Februar 2010, 23:20

Ja da hast du Recht..
Hatte ehrlich gesagt garnicht an diese Variante gedacht..
Naja.. man kann nicht an alles denken..


Wie gesagt..
Wird Intern angesprochen und sicher gefixt..

Gruß
Sandro
Aktuelle Module für cms2day 3.9.2:
Userverwaltung / Interner Bereich :: RELEASED
Adminrights :: RELEASED
Content-Boxes :: RELEASED
Statistik :: 60%
Termin- & Eventkalender :: 100%
Werbung

peterk

cms2day Projekt Spender

  • »peterk« ist männlich
  • »peterk« ist der Autor dieses Themas

Beiträge: 102

CMS Version: warte auf 3.9.1

  • Nachricht senden

8

Freitag, 26. Februar 2010, 23:28

sandro ich hätte da eine idee und auch zu 70 ready nur bei einer stelle hackts haste mal icq nummer



Mit dem Leben Lachen, mit dem Lachen Leben lol
Werbung

Co.Re

Fortgeschrittener

  • »Co.Re« ist männlich

Beiträge: 254

CMS Version: 3.9.2 FINAL MOD

Wohnort: 61138 Niederdorfelden

Beruf: Soldat

Paypal:

  • Nachricht senden

9

Freitag, 26. Februar 2010, 23:30

Eigentlich muss man nix weiter machen als ne htaccess ins temp-Verzeichnis zu schmeissen in der der Zugriff auf den Ordner ( oder auch nur auf die Backup-Daten ) verboten wird.
Man müsste dann im AdminBackend zu anzeigen der Backups den Inhalt mit file_get_contents auslesen..

Von daher ist es kein riesiger Aufwand..

Gruß
Sandro
Aktuelle Module für cms2day 3.9.2:
Userverwaltung / Interner Bereich :: RELEASED
Adminrights :: RELEASED
Content-Boxes :: RELEASED
Statistik :: 60%
Termin- & Eventkalender :: 100%
Werbung

peterk

cms2day Projekt Spender

  • »peterk« ist männlich
  • »peterk« ist der Autor dieses Themas

Beiträge: 102

CMS Version: warte auf 3.9.1

  • Nachricht senden

10

Freitag, 26. Februar 2010, 23:32

ich hätte vorgeschlagen es denn dum als php schreib und der soll an denn admin login gebunden sein für jeden dump



Mit dem Leben Lachen, mit dem Lachen Leben lol
Werbung

  • 1
  • 2

Ähnliche Themen