Sorry, habe ich nicht gesehen / gelesen.LeisureLarry wrote: @Sonya:
Sehe ich genauso (siehe auch meine Ergänzung zu Schritt 2 im Originalbeitrag).
HowTo: CMSms Sicherheit
Re: HowTo: CMS ms Sicherheit
Re: HowTo: CMS ms Sicherheit
Hab einmal einen Link bei Schritt 1 zu einer Internetseite hinzugefügt, die für Euch merkbare Kennwörter generiert.
Re: HowTo: CMS ms Sicherheit
den Generator finde ich weitaus besser zumal der auch noch Sonderzeichen mit einbauen kann
http://www.gaijin.at/olspwgen.php
kann den post auch gerne wieder löschen, wenn du den link übernimmst
http://www.gaijin.at/olspwgen.php
kann den post auch gerne wieder löschen, wenn du den link übernimmst
Re: HowTo: CMS ms Sicherheit
Dein Link hat leider auch einen Nachteil, die Kennwörter kann sich niemand merken. Das Besondere an meinem Link ist, daß dort aussprechbare und somit besser merkbare Kennwörter erzeugt werden. Deswegen würde ich den genannten Link bevorzugen und dort halt noch manuell Sonderzeichen einfügen.
Aber als Alternative sollte Dein Posting auf jedenfall vorhanden bleiben, da man dort mehr Einfluss auf die Generierung hat.
LeisureLarry
Aber als Alternative sollte Dein Posting auf jedenfall vorhanden bleiben, da man dort mehr Einfluss auf die Generierung hat.
LeisureLarry
Last edited by LeisureLarry on Thu Mar 13, 2008 12:10 pm, edited 1 time in total.
Re: HowTo: CMS ms Sicherheit
Eine interessante Ergänzung zu diesem Thema ist auch im Wiki zu finden
http://wiki.cmsmadesimple.org/index.php ... mall_Guide
http://wiki.cmsmadesimple.org/index.php ... mall_Guide
Re: HowTo: CMS ms Sicherheit
Hab heute mal ne kleine Ergänzung zum Wiki bzgl. des Upload-Ordners gemacht und eine Linksammlung für weiterführende Links unter dem Hauptbeitrag begonnen.
- LeisureLarry
- LeisureLarry
Re: HowTo: CMS ms Sicherheit
Habe gerade einen interessanten Artikel zum Thema Passwortsicherheit gefunden.
http://entwickler.com/itr/news/psecom,i ... id,82.html
In diesem Sinne denkt daran, das Admin-Kennwort sollte nur einem sehr kleinen Personenkreis bekannt sein (am besten nicht mehr als zwei Personen) und nicht gerade auf einem Post-It am Serverschrank notiert sein.
Grüße aus Nürnberg
LeisureLarry (interiete.net)
Denn ein ganz entscheidender Faktor wird bei all den Maßnahmen immer wieder vergessen: der Mensch. Und der ist so käuflich, das geht auf keine Kuhhaut. Bei Frauen reicht bereits eine Tafel Schokolade und schwupp hat der Feind den Zugangscode. Gibt's nicht? Gibt's wohl! Hat Infosecurity Europe herausgefunden.
http://entwickler.com/itr/news/psecom,i ... id,82.html
In diesem Sinne denkt daran, das Admin-Kennwort sollte nur einem sehr kleinen Personenkreis bekannt sein (am besten nicht mehr als zwei Personen) und nicht gerade auf einem Post-It am Serverschrank notiert sein.
Grüße aus Nürnberg
LeisureLarry (interiete.net)
Re: HowTo: CMS ms Sicherheit
Oh, jeee. Der Feind bin ja ich. Als Frau gefährde ich meinen Server wohl am meisten .LeisureLarry wrote:Bei Frauen reicht bereits eine Tafel Schokolade und schwupp hat der Feind den Zugangscode. Gibt's nicht? Gibt's wohl! Hat Infosecurity Europe herausgefunden.
Und zur Statistik: ja, mein CMSMS wurde schon Mal gehackt. Grund: Benutzung eines Masterpasswortes für alle Installationen sowie diverse Anmeldungen bei Foren im Netz. Der Benutzername war natürlich "admin". Die größte Sicherheitslücke bestand in meinem Kopf.
Re: HowTo: CMS ms Sicherheit
Aha. Deswegen die Tarnung (Foto) .Sonya wrote: Der Feind bin ja ich.
Grad noch einen Artikel über die Absicherung von PHP-Software im allgemeinen gefunden
http://www.heise.de/security/Grundsiche ... ikel/96564
Last edited by cyberman on Sun Apr 20, 2008 9:52 am, edited 1 time in total.
Re: HowTo: CMS ms Sicherheit
Neuen Schritt hinzugefügt in Anlehnung an nachfolgenden Thread:
http://forum.cmsmadesimple.org/index.ph ... 787.0.html
Dort wurde zwar eine Datei im Root des Webservers erstellt und dann erst Dateien im tmp-Ordner und diese auch nicht vom Typ php, aber man weiss ja nie.
http://forum.cmsmadesimple.org/index.ph ... 787.0.html
Dort wurde zwar eine Datei im Root des Webservers erstellt und dann erst Dateien im tmp-Ordner und diese auch nicht vom Typ php, aber man weiss ja nie.
Re: HowTo: CMS ms Sicherheit
Bei Schritt 11 bin ich mir nicht sicher, ob das die Funktionalität des CMS beinträchtigt.
In einigen Unterordnern des Verzeichnisses tmp/templates_c befinden sich sehr wohl PHP-Dateien, die doch zumindest vom System ausgeführt werden dürften, oder?
Kann es leider gerade nicht online testen, da PHPIDS mich gerade von meinen eigenen Seiten ausgesperrt hat
Ich habe das Gefühl, dass PHPIDS Probleme mit mod_rewrite hat.
Jedenfalls kann ich in der URL http://lasergame-le.de/top/impressum.html keinen schadhaften Code erkennen.
Trotzdem bekomme ich vom Modul Emails mit Sicherheitswarnungen.
Naja, und jetzt wurde ich erstmal für 30 Tage verbannt
Im Prinzip ein tolles Tool, wenn man weiß, damit umzugehen.
In einigen Unterordnern des Verzeichnisses tmp/templates_c befinden sich sehr wohl PHP-Dateien, die doch zumindest vom System ausgeführt werden dürften, oder?
Kann es leider gerade nicht online testen, da PHPIDS mich gerade von meinen eigenen Seiten ausgesperrt hat
Ich habe das Gefühl, dass PHPIDS Probleme mit mod_rewrite hat.
Jedenfalls kann ich in der URL http://lasergame-le.de/top/impressum.html keinen schadhaften Code erkennen.
Trotzdem bekomme ich vom Modul Emails mit Sicherheitswarnungen.
Naja, und jetzt wurde ich erstmal für 30 Tage verbannt
Im Prinzip ein tolles Tool, wenn man weiß, damit umzugehen.
Re: HowTo: CMS ms Sicherheit
So, habs gerade getestet.
Scheint doch keine Probleme zu machen.
Scheint doch keine Probleme zu machen.
Re: HowTo: CMS ms Sicherheit
PHPIDS hab ich leider auch nie in meiner Konstellation zum Laufen bekommen, das Teil hat einfach meine Kunden ausgesperrt.
Die PHP-Dateien, die Du meinst, müssen nicht PER BROWSER ausgeführt werden können. Sie werden von einer anderen PHP-Datei eingebunden und werden somit nie direkt ausgeführt.
Die PHP-Dateien, die Du meinst, müssen nicht PER BROWSER ausgeführt werden können. Sie werden von einer anderen PHP-Datei eingebunden und werden somit nie direkt ausgeführt.
Re: HowTo: CMS ms Sicherheit
Also könnte man doch auch für den Modulordner den Direktzugriff auf php-Dateien verbieten, da die doch über die Moduleinterface.php eingebunden werden.