TESTVERSION CMSimple5setup

CMSimple 4.0 und höher
Post Reply
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

TESTVERSION CMSimple5setup

Post by Gert »

Hallo,

einer der grössten Vorteile von CMSimple ist ja die einfache "Installation":

- herunterladen
- entpacken
- hochladen
- einloggen mit Passwort "test"
- Passwort ändern - fertig

Allerdings kam es immer mal vor, dass Anwender den letzten Schritt nicht ausgeführt haben, und so findet man im Netz auch heute noch vergessene Installationen, in die man sich mit "test" einloggen kann.

Seit CMSimple die Admins im Backend mit einer grässlichen gelb-schwarzen Warnung darauf hinweist, dass das Standard-Passwort noch aktiv ist, ist das schon spürbar weniger geworden.

Jetzt hat mich ein Student der Tartu University in Estland kontaktiert, der sich im Rahmen eines Studienprojektes mit diesem Problem beschäftigt hat. Er hat gleich einen interessanten Lösungsansatz mitgeliefert, den ich in einer Testversion umgesetzt habe.

Ich will hier ganz bewusst keine Beschreibung liefern, Ihr sollt anhand der README.php alleine herausfinden, wie es funktioniert. So erhoffe ich mir Feedback, ob die README.php genug Informationen enthält.

Nur soviel: Diese Version enthält auch eine neue Passwortverschlüsselung. Wenn ich das also in der nächsten CMSimple Version so umsetze, stimmt der PasswortHash nicht mehr, und man muss nach einem Update das Setup aktivieren und das Passwort neu setzen.

Download CMSimple5setup:

<edit> Link gelöscht - CMSimple 5.1 wurde veröffentlicht </edit>

Viel Spass beim testen, ich freue mich auf Euer Feedback,

Gert
Last edited by Gert on Tue 16. Jun 2020, 08:46, edited 2 times in total.
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: TESTVERSION CMSimple5setup

Post by Gert »

UPDATE:

Habe jetzt eine Version fertig, bei der die alte PasswordHash.php genutzt wird und so die Passwörter nach einem Update noch stimmen, also könnten die Updates so einfach und unkompliziert bleiben, wie Ihr das gewöhnt seid ;)

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: TESTVERSION CMSimple5setup

Post by Gert »

Hallo,

auf der Basis der intensiven Diskussion hier :mrgreen: habe ich ein paar Entscheidungen getroffen:

1. CMSimple 5.1 kommt mit Setup. Das Setup kann per ftp aktiviert werden, indem man die Datei setupControl.php ( zu finden im Ordner ./setup/ des Downloads) in das entsprechende Verzeichnis hochlädt (CMSimpleRoot, Zweitsprache, Subsite). Danach ruft man die setup.php im entsprechenden Verzeichnis auf. Nach der Änderung des Passwortes wird die setupControl.php glöscht, Setup ist wieder inaktiv.

2. Das gute alte Passwort "test" wird behandelt wie ein ungültiges Passwort. Setzt man im CMSimple Backend das Passwort auf "test", kann man sich nicht mehr in CMSimple einloggen, das Passwort muss dann per ftp geändert werden, indem man Setup aktiviert (siehe 1.).

3. Der PasswortHash bleibt der alte, somit ist das alte Passwort nach einem Update weiterhin gültig.

Updates bleiben also so einfach wie gewohnt, die "Inbetriebnahme" eines neu installierten CMSimple ist dann aber im Interesse einer erhöhten Sicherheit etwas aufwändiger. "Vergessene" CMSimple Installationen, in die man sich mit dem Passwort "test" einloggen kann, gehören dann der Vergangenheit an.

Download CMSimple 5.1 Vorschau: <edit> Link gelöscht - CMSimple 5.1 wurde veröffentlicht </edit>

Ich werde CMSimple 5.1 in Kürze veröffentlichen und mich dann in die Sommerpause verabschieden. Wenn also (wie so oft) Ideen und Anregungen augerechnet kurz nach der Veröffentlichung der neuen Version eingehen, wird es eine Weile dauern, bis sie umgesetzt werden. Es sei denn, es handelt sich um schwerwiegende Bugs oder Sicherheitsprobleme, wovon ich aber nicht ausgehe, denn grundsätzliches hat sich ja nichts geändert an CMSimple 5,

viel Spass beim testen, Gert
Last edited by Gert on Tue 16. Jun 2020, 08:48, edited 2 times in total.
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Hixi
Posts: 84
Joined: Sat 22. Dec 2012, 22:46

Re: TESTVERSION CMSimple5setup

Post by Hixi »

Hallo Gert

Wir haben die Testversion installiert und das Passwort via setupcControl.php geändert. Es hat alles bestens funktioniert.

Ergänzung: Eben haben wir noch die Installation auf dem localhost (über MAMP) getestet. So funktionert die Passwort-Eingabe nicht.

Einen schönen Sonntag und sonnige Grüsse aus der Schweiz

Beat + Susanne
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: TESTVERSION CMSimple5setup

Post by Gert »

Hixi wrote: Sun 17. May 2020, 15:39 Ergänzung: Eben haben wir noch die Installation auf dem localhost (über MAMP) getestet. So funktionert die Passwort-Eingabe nicht.
Vielen Dank fürs testen.

Was funktioniert denn nicht? Ich habe ja alles lokal entwickelt, allerdings unter Xampp.

Könnt Ihr nix eingeben, oder wird nur das Passwort nicht geändert? Kommt eine Meldung? Könnt Ihr das noch ein wenig genauer beschreiben?

Gert
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Hixi
Posts: 84
Joined: Sat 22. Dec 2012, 22:46

Re: TESTVERSION CMSimple5setup

Post by Hixi »

Ups, wir haben eben nochmals getestet. Bei unserem ersten Versuch haben wir den Befehl nicht richtig eingegeben. Es funktioniert natürlich alles bestens. :oops:

Sorry und beste Grüsse

Beat + Susanne
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: TESTVERSION CMSimple5setup

Post by Gert »

Hixi wrote: Sun 17. May 2020, 16:21 Es funktioniert natürlich alles bestens.
Na da bin ich ja beruhigt ;)

Bei den Dateien setup.php bin ich noch am schrauben, da geht noch einiges zu vereinfachen. Da sind noch Dinge aus verschiedenen Testphasen drin. Ein paar Codezeilen werde ich noch verschieben, so dass ausserhalb der if-else-Bedingung nichts mehr steht. Aber das sollte den Anwender nicht weiter interessieren, nur falls jemand den Code checkt ;)

einen schönen Sonntagabend noch - Gert

====================================

PS: Die Beschränkung auf "erlaubte Zeichen" werde ich noch rausnehmen, das Passwort wird ja eh gehasht, also besteht da keine Gefahr.
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Gert
Posts: 2075
Joined: Sun 18. Nov 2012, 14:18

Re: TESTVERSION CMSimple5setup

Post by Gert »

Hallo,

bisher bestand bei der Testversion CMSimple51setup das Problem, dass beim Abbruch des Setup (z. B. das Telefon klingelt) die Möglichkeit bestand, dass bei Abbruch zwischen Aktivierung und Ausführung des Setup eine Installation online blieb, bei der jedermann die setup.php aufrufen und das Setup ausführen konnte. Die Datei setupControl.php, die Setup aktiviert, wurde ja nur bei vollendetem Setup gelöscht.

Auf Grund einer Diskussion an anderer Stelle kam mir die Idee, die setup.php zuerst nach dem Alter der setupControl.php fragen zu lassen. Ist die älter als 5 min, wird sie gelöscht, und setup ist inaktiv. Man muss dann die setupControl.php per ftp erneut hochladen, um Setup wieder zu aktivieren.

Die maximale Zeitspanne für einen Angriff ist also bei Abbruch des Setup 5 min, bei ordnungsgemässer Durchführung des Setup nur wenige Sekunden. Ich glaube, das ist akzeptabel, zumal ein Abbruch des Setup wohl die absolute Ausnahme ist.

Ich habe einen neuen Download hochgeladen, hier nochmal der Link:

Download CMSimple 5.1 Vorschau: <edit> Link gelöscht - CMSimple 5.1 wurde veröffentlicht </edit>

Viel spass beim testen - Gert
Last edited by Gert on Tue 16. Jun 2020, 08:48, edited 2 times in total.
Gert Ebersbach | CMSimple | Templates - Plugins - Services
Hixi
Posts: 84
Joined: Sat 22. Dec 2012, 22:46

Re: TESTVERSION CMSimple5setup

Post by Hixi »

Hallo Gert

Wir haben auch diese Version getestet, funktionert bestens. Vielen Dank für deine Arbeit!

Grüsse aus der Schweiz
Beat + Susanne
Post Reply