Page 1 of 1
CMS-Version 1.4: Systemprüfung sicher?
Posted: Mon Aug 04, 2008 2:13 pm
by m266
Hallo zusammen,
ich habe mir gerade die neue Version installiert und dabei die Systemprüfung getestet. Die Prüfsummendatei wurde heruntergeladen und dann zum Prüfen wieder hochgeladen. Dabei ist natürlich alles OK. Wenn ich an einer Datei etwas verändere, wird dies bemerkt.
Bei einem Angriff werden aber auch neue Dateien hochgeladen und ggf. Ordner angelegt. Hierbei scheitert die Systemprüfung und erkennt keine Abweichung.
Kann das mal bitte jemand nachvollziehen oder mache ich einen Denkfehler bei meiner Betrachtung.
Gruß m266
Re: CMS-Version 1.4: Systemprüfung sicher?
Posted: Mon Aug 04, 2008 4:21 pm
by NaN
m266 wrote:
Hierbei scheitert die Systemprüfung und erkennt keine Abweichung.
Weil in diesem Fall ja keinerlei Änderungen am System selbst vorgenommen wurden.
Diese Prüfung untersucht nicht den gesamten Webspace, sondern nur die Ordner und Dateien, die zum System gehören.
Sonst könnte man ja keine eigenen Ordner mehr anlegen.
Re: CMS-Version 1.4: Systemprüfung sicher?
Posted: Mon Aug 04, 2008 5:34 pm
by m266
Wenn das zutreffend ist, lässt sich ein Angriff wie
http://forum.cmsmadesimple.org/index.ph ... 787.0.html
nicht erkennen. Es würden nur Änderungen an vorhandenen Dateien erkannt. Da frage ich mich doch nach dem Sinn der Systemprüfung...
Gruß m266
Re: CMS-Version 1.4: Systemprüfung sicher?
Posted: Mon Aug 04, 2008 10:55 pm
by mike-r
Sinn einer solchen Prüfung ist wohl, dass keine Core-dateien verändert wurden. Ich habe die Prüfung noch nicht testen können, denke aber, dass es schon ein sehr schöner Schritt in die richtige Richtung ist.
Ich schliesse mich aber der Meinung an, dass eine Komplettprüfung sehr wünschenswert wäre.
Ich bin kein Programmierer, denke aber, dass es nicht sonderlich kompliziert sein sollte, ein Plugin/etc zu bauen, welches alle "fremden" und veränderten Dateien mit dem Core gegenüberstellen könnte.
Generell denke ich, sollte es auch auf lange Sicht machbar sein, dem System =per standard= an sich verbieten zu können, überhaupt ausführbare Dateien irgendwo abzulegen.
Re: CMS-Version 1.4: Systemprüfung sicher?
Posted: Tue Aug 05, 2008 12:41 pm
by NaN
mike-r wrote:
Generell denke ich, sollte es auch auf lange Sicht machbar sein, dem System =per standard= an sich verbieten zu können, überhaupt ausführbare Dateien irgendwo abzulegen.
Sowas wird Serverseitig mit .htaccess-Dateien geregelt.
Da hat das CMS keinen Einfluss drauf.
Außerdem würde, wenn ich ein Modul oder Plugin per FTP hochlade, sofort gemeckert werden.
Sicher wäre eine solche Sicherheitsprüfung sinnvoll, aber je mehr Sicherheitsbarrieren eingebaut werden umso mehr sinkt die Flexibilität.