Ankündigung

Einklappen
Keine Ankündigung bisher.

[Erledigt] Accesskey für Folder ansonst Redirect (simple)

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [Erledigt] Accesskey für Folder ansonst Redirect (simple)

    Hallo zusammen

    Stellt Euch vor Ihr habt bsp.weise einen Ordner "http://myweb.de/admin"
    Natürlich könnte man den einfach mit .htaccess schützen doch ich will folgendes:

    Der Admin sollte so zugreifen:
    http://myweb.de/admin?xygeheim

    alle die nun den zugriff durch
    http://myweb.de/admin
    versuchen, werden direkt umgeleitet/redirect so als ob dort kein Ordner sei.

    Wie würdet Ihr das umsetzen?

    Von einem CMS gibts ein Plugin welches dies bewerkstelligt, hier mal der Code:
    PHP-Code:
    $session =getSession();
    $checkedKey $session->get('jSecureAuthentication');
            
    $path ='';
            if (empty(
    $checkedKey)) {
                if((
    preg_match("/administrator\/*index.?\.php$/i"$_SERVER['SCRIPT_NAME']))) {
                    if(!
    $my->id && $params->get('key') != $_SERVER['QUERY_STRING']) {
                        
    $config =& JFactory::getConfig();
                        
    $path .= JURI::root();
                        
    $app =& JFactory::getApplication();
                        
    $app->redirect($path);
                    }  else {
                        
    $session->set('jSecureAuthentication'1);
                    }            }        }    } 
    $params->get('key') steht für das definierte Keyword

    Wie empfiehlt ein Profi dies zu bewerkstelligen?

    Danke für Tips, bin steckengeblieben da meine Umleitung ebenfalls den richtigen Keystring umleitet

    Grüsse


  • #2
    Danke für Tips, bin steckengeblieben da meine Umleitung ebenfalls den richtigen Keystring umleitet
    Ist das jetzt erledigt oder wie soll man das interpretieren?
    --

    „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
    Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


    --

    Kommentar


    • #3
      Hallo
      Ist das jetzt erledigt oder wie soll man das interpretieren?
      Ne, ich habs nicht hingekriegt dass der admin mit dem Loginkey Zugang kriegt. Rückschlüsse aus dem Plugin/Code_oben kann ich auch nicht konkret ziehen.

      Danke

      Kommentar


      • #4
        Der Admin soll eine geheime Zeichenfolge an die URL (Klartext!!!) hängen...
        Competence-Center -> Enjoy the Informatrix
        PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

        Kommentar


        • #5
          Hey,

          mach doch einfach eine if drumherum in dem du dein GET abfragst und wenn der Key nicht dem entspricht, was eingegeben werden muss, leitest Du um

          Aber wie mein Vorposter bereits erwähnt hat, rate ich auch vom Klartext ab

          Grüße

          Kommentar


          • #6
            Zitat von Arne Drews Beitrag anzeigen
            Der Admin soll eine geheime Zeichenfolge an die URL (Klartext!!!) hängen...
            ich gehe davon aus das die nötig ist um die loginpage überhaupterstmal angezeigt zu bekommen.
            Under Construktion

            Kommentar


            • #7
              Genauso überflüssig!
              Wenn der Login fehlschlägt wird doch eh' umgeleitet.
              Was sollte dann noch ein Schlüsselwort, um den Login erst anzeigen zu lassen
              Competence-Center -> Enjoy the Informatrix
              PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

              Kommentar


              • #8
                Leute, bitte nicht ständig Domains zu Beispielzwecken angeben und auch noch verlinken lassen, die euch nicht gehören!
                Dafür gibt es explizit example.com/.net/.org!

                Zitat von strgg Beitrag anzeigen
                Natürlich könnte man den einfach mit .htaccess schützen doch ich will folgendes:

                Der Admin sollte so zugreifen:
                http://example.com/admin?xygeheim
                Soll das dann der einzige „Schutz“ sein?

                Dann überleg mal, was passiert, wenn auf der Seite externe Ressourcen eingebunden werden - bspw. in einem Blog externe Bilder.
                Da landet dann höchstwahrscheinlich die Adresse http://example.com/admin?xygeheim als Referrer im Logfile der externen Seite - und schon kennt jemand die Adresse.


                Darüber hinaus ist es doch wohl eine der ältesten Weisheiten überhaupt, dass „security by obscurity” nicht funktioniert.

                Kommentar


                • #9
                  ich gehe davon aus das die nötig ist um die loginpage überhaupterstmal angezeigt zu bekommen.
                  Genau so ist es gedacht.

                  Stellt Euch z.B. ein allseits bekanntes Skript vor wo jeder zweite Webmaster die URL für den Adminzugang kennt.

                  Ungeachtet subjektiver Meinungen interessiert mich der optimale technische Ansatz dies zu lösen.

                  mach doch einfach eine if drumherum in dem du dein GET abfragst und wenn der Key nicht dem entspricht, was eingegeben werden muss, leitest Du um
                  Danke für den Vorschlag

                  Wenn der Login fehlschlägt wird doch eh' umgeleitet.
                  Ha
                  Was sollte dann noch ein Schlüsselwort, um den Login erst anzeigen zu lassen
                  Z.B. um K-Crawlern überhaupt keine Angriffsfläche zu bieten, bekannte Skripts zu verfremden,einfach um des techn. Ansatzes willen, ....

                  Kommentar


                  • #10
                    Wenn Du von technischen Ansätzen sprichst solltest Du die sog. "subjektiven" Meinungen lieber doch berücksichtigen!
                    Competence-Center -> Enjoy the Informatrix
                    PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

                    Kommentar


                    • #11
                      Dann überleg mal, was passiert, wenn auf der Seite externe Ressourcen eingebunden werden - bspw. in einem Blog externe Bilder.
                      Sag mal schnallst Du nicht das dieser Folder einen Admin-Zugang darstellt!!!

                      Wenn Du von technischen Ansätzen sprichst solltest Du die sog. "subjektiven" Meinungen lieber doch berücksichtigen!
                      Wenn Sie völlig unbegründet und alogisch sind doch eher nicht.

                      Viele der bekannten CMS wie Wordpress, Joomla etc. haben einen allseits bekannten Pfad um zum Admin-Login zu gelangen. Diesen Pfad kann man einfach in ein Skript eingeben, eine Proxy-Liste einbinden und brute-force attackieren. Mit dem Accesskey wird dies unterbunden ohnen dass man mühselig den Adminordner umbenennen und die Pfade anpassen muss. War
                      diese Schlussfolgerung nun wirklich so schwer alleine zu tätigen?

                      Bei Joomla bspweise wird dieses Plugin genutzt welches eines der meistgenutzten Security-instrumente dieses CMS darstellt und von anerkannten Sicherheitsexperten empfohlen wird. Wenn Du denkst Du
                      weist besser Bescheid als diese Arne dann bring wenigstens sachdienliche
                      Hinweise.

                      jSecure - Joomla! Extensions Directory

                      Vielleicht meldet sich ja mal ein Profi zu Wort welcher wirklich weiss von was er spricht und den Sinn/Unsinn dieses Mods überhaupt verstanden hat.

                      Freundliche Grüsse

                      Kommentar


                      • #12
                        Ja... Dann viel Spaß mit den Experten...
                        Competence-Center -> Enjoy the Informatrix
                        PHProcks!Einsteiger freundliche TutorialsPreComposed Packages

                        Kommentar


                        • #13
                          Security through obscurity – Wikipedia
                          --

                          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                          --

                          Kommentar


                          • #14
                            Zitat aus Deinem Link Nikosch

                            ... Als Ergänzung bestehender Sicherheitskonzepte kann sich Verschleierung jedoch als wirkungsvoll z. B. gegenüber automatisierten Angriffen erweisen.

                            Danke trotzdem für die zahlreichen Inputs

                            Kommentar


                            • #15
                              Zitat von strgg Beitrag anzeigen
                              Danke trotzdem für die zahlreichen Inputs
                              Ist das Thema immer noch nicht erledigt?

                              Zitat von daPhantom Beitrag anzeigen
                              mach doch einfach eine if drumherum in dem du dein GET abfragst und wenn der Key nicht dem entspricht, was eingegeben werden muss, leitest Du um

                              Kommentar

                              Lädt...
                              X