HowTo: CMSms Sicherheit Topic is solved

[Wiedmann]

Also könnte man doch auch für den Modulordner den Direktzugriff auf php-Dateien verbieten, da die doch über die Moduleinterface.php eingebunden werden.

Soweit die Therorie. Aber um Mal ein Modul zu nehmen das standardmässig installiert wird:
Beim "Printing" Module (PDF-Erstellung) wird direkt eine PHP-Datei vom Browser im Modulverzeichnis aufgerufen.

[NaN]

Ich dachte das wäre sowieso "depreciated" und soll irgendwann rausfliegen (CMSms 2.0), da es bei einigen Providern immer wieder zu Problemen bei serverseitiger PDF-Erstellung kam.
Stattdessen soll man besser Print-Stylesheets verwenden.

Aber guter Hinweis.
Werd mit dem Modul mal bissel rumspielen und nach Lücken suchen.

[Wiedmann]

Stattdessen soll man besser Print-Stylesheets verwenden.

Sofern man die aktuelle Seite nur ausdrucken will, finde ich das auch besser (Drucken: Die primäre Funktion dieses Modules (hierbei wird auch nicht auf diese PHP-Datei zugegriffen).

Bei mir z.B. wird beim Klick auf das Printericon auch nur der Druckdialog vom Browser aufgerufen und nicht dieses Modul. (User ohne JS sehen halt das Icon nicht, und müssen selber wissen wo man im Browser druckt

Wenn ich aber wirklich ein PDF für etwas anbieten will, hilft einem natürlich ein Stylesheet nicht weiter. Die Umwandlung von einem Template/HTML nach PDF, wie vorgesehene, tut allerdings auch nicht immer so wie gewünscht. Zumindest im SVN scheint es laut Log da eine Verbesserung zu geben.

[cyberman]

da es bei einigen Providern immer wieder zu Problemen bei serverseitiger PDF-Erstellung kam.

Hab auch schon feststellen müssen, dass es nur mit PHP5 funktioniert ...

[NaN]

Ich habe mich noch ein wenig mit dem FileManager beschäftigt.
Auch wenn die Option "Erweiterten Modus aktivieren?" im FileManager deaktiviert ist, kann man über die Eingabe in der Adressleiste des Browser ins Root-Verzeichnis und von dort in jedes andere Verzeichnis gelangen.
Offenbar funktioniert das nur, wenn man im Backend eingeloggt ist.
Das bedeutet allerdings, dass, falls jemand unerlaubt (auf welchem Wege auch immer) ins Backend gelangt, er nahezu unbegrenzten Zugriff auf den Webspace hat.
Habe mal zum Testen irgendwas ins lib-Verzeichnis hochgeladen und wieder gelöscht.

Ich will hier keine Panik machen.
Denn, wenn man die Sicherheitshinweise umgesetzt hat, besteht keine unmittelbare Gefahr.
Jedoch bereitet mir der Gedanke, dass man darüber jedes x-beliebige Script ins Root-Verzeichnis kopieren könnte, Bauchschmerzen.
Ich erinnere nur an den Fall, in dem ein kompletter Server vom Netz ging, weil irgendein bösartiges Script ins Root-Verzeichnis gelangt ist.
Deshalb sollte man evtl. den Direktzugriff im Root-Verzeichnis explizit nur auf die index.php, stylesheet.php und vielleicht auch noch auf die robots.txt und auf Bilder und JavaScripts beschränken.
Also ähnlich wie bei der .htaccess-Datei für das lib-Verzeichnis:

(ist nur ein Beispiel)

Code: Select all

# Anstatt den Zugriff nur auf die config.php zu unterbinden, verbieten wir den Zugriff auf ALLE Dateien
<Files *.*>
     order allow,deny
     deny from all
</Files>

# Und Anschließend erlauben wir den Zugriff nur auf bestimmte Dateien bzw. Dateitypen
# (ich musste die Dateiendungen einmal in Groß- und einmal in Kleinbuchstaben angeben, 
# da es bei mir sonst nicht bei allen Dateien funktioniert hat)
<Files ~ ".*\.css|.*\.js|.*\.gif|.*\.jpg|.*\.jpeg|.*\.CSS|.*\.JS|.*\.GIF|.*\.JPG|.*\.JPEG|index\.php|stylesheet\.php|robots\.txt$">
     order allow,deny
     allow from all
</Files>

Sollte es damit Probleme geben oder jemand einen besseren Vorschlag haben, bitte Bescheid sagen.

[cyberman]

Gleiches gilt eventuell für den Theme-Manager, keine Ahnung wo der Dateien hinspeichert, da er bei mir sofort runtergeflogen ist.

Lt. calguy war /tmp der Zielordner, ab der 1.4 wird es tmp/cache sein ...

[cyberman]

In einem anderen Security-Board kam auch der Hinweis, den voreingestellten Datenbank-Prefix zu ändern ...

[LeisureLarry]

Dieser Beitrag wird für CMSms ab v1.4.1 in einem neuen Beitrag fortgeführt:

http://forum.cmsmadesimple.org/viewtopi ... 11&t=25541

[SimonSchaufi]

ich weiß nicht, ob es was bringt der Sicherheit wegen, aber man kann auch die config.php umbenennen und/oder verschieben und den Pfad entsprechend in der fileloc.php anpassen.

[NaN]

Prinzipiell bringt "Verschleierung" schon etwas.
Aber wenn die Zugriffsrechte der config.php entsprechend gesetzt sind, dürfte das ausreichen.

[LeisureLarry]

Bitte ins Unterforum HowTo's verschieben und dann diesen Kommentar löschen. Danke.