CMSimple 5.15 veröffentlicht / published

[Gert]

Hallo,

CMSimple 5.15 steht zum Download bereit.

Grund für die neue Version ist ein überarbeiteter Pagemanager miteinem verbesserten drag&drop Verhalten. Ausserdem wurde die Routine bei der Umstellung auf h1only Pagesplitting verbessert.

Hier noch einmal der Hinweis: Vor jedem Update einer CMSimple Installation sollte ein Backup der gesamten Installation auf dem PC erstellt werden.

ChangeLog: https://www.cmsimple.org/?Downloads___ChangeLog

Download: https://www.cmsimple.org/?Downloads

Viel Spass - Gert

==========================================================

Hello,

CMSimple 5.15 is ready for download.

The reason for the new version is a revised pagemanager with improved drag & drop behavior. In addition, the routine for switching to h1only page splitting has been improved.

Once again this hint: Before you update a CMSimple Installation, you should make a backup of the whole installation on your PC.

ChangeLog: https://www.cmsimple.org/en/?Downloads___ChangeLog

Download: https://www.cmsimple.org/en/?Downloads

Have fun - Gert

[Gonzo Gates]

Hallo Gert,

sehe ich es richtig, dass du bis mindestens V5.12 in der '$CMSroot/cmsimple/login.php' ein lesbares Kennwort, das mit 'xc' anfängt und mit '89' endet benutzt?

Ich habe '$CMSroot/cmsimple/login.php' von V5.15 gelesen und das vermeintliche KW erscheint nicht mehr.

War oder ist das so was, wie jetzt aktuell über die xz-Tools zu lesen ist, wie eine Backdoor, die in der V5.15 gehasht ist ($cmsimple_pwHasher)?

Ich weiß nicht, wie ich damit umgehen soll!

Gruß
Gonzo

[Gert]

sehe ich es richtig, dass du bis mindestens V5.12 in der '$CMSroot/cmsimple/login.php' ein lesbares Kennwort, das mit 'xc' anfängt und mit '89' endet benutzt?

Nein.

War oder ist das so was, wie jetzt aktuell über die xz-Tools zu lesen ist, wie eine Backdoor, die in der V5.15 gehasht ist ($cmsimple_pwHasher)?

Nein.

Hat Dein Post irgendwas damit zu zun, dass man seit gestern in Deutschland kiffen darf?

Gert

[Gonzo Gates]

Hallo Gert,

weshalb gibt es keine adäquate Antwort außer 'Nein' oder hat dein Post etwas damit zu tun, dass du selber kiffst? Urlaub in den Niederlanden, wenn man im 'Koffieshop' war, führt einen oft zu anderen Eindrücken des Geschehens.

<mod>Bild entfernt - admin</mod>

Gruß
Gonzo

[Gert]

Da Du hier unterstellst, dass es in CMSimple eine Hinterür gab, muss ich leider antworten, auch wenn ich es mittlerweile leid bin, mich mit Deinen sinnlosen Posts zu beschäftigen

Eine solche Unterstellung ist so ziemlich das schlimmste, was man einem Software Entwickler antun kann, denn das untergräbt das Vertrauen in die Software und in den Entwickler.

weshalb gibt es keine adäquate Antwort

2 Fragen, 2 Antworten, 2x ein klares Nein, was ist daran nicht "adäquat"? Soll ich Dir jetzt den Code erklären?

Ok - kleiner Hinweis: Ein Passwort sollte eine sinnlose Zeichenfolge sein, aber nicht jede sinnlose Zeichenfolge ist ein Passwort

Gert

[Gonzo Gates]

Hallo Gert,

Da Du hier unterstellst, dass es in CMSimple eine Hinterür gab, muss ich leider antworten, auch wenn ich es mittlerweile leid bin, mich mit Deinen sinnlosen Posts zu beschäftigen

Du nennst es sinnlos und ich kritisch. Vor dem Hintergrund, weil man immer wieder erfährt, dass in größeren Projekten als CMSimple Backdoors aufgedeckt werden.

Ok - kleiner Hinweis: Ein Passwort sollte eine sinnlose Zeichenfolge sein, aber nicht jede sinnlose Zeichenfolge ist ein Passwort

Das wäre doch von Anfang an eine adäquate Antwort gewesen. Aber warum heißt dann die Variable '$cmsimple_pwHasher'?

Gruß
Gonzo

[Gert]

Aber warum heißt dann die Variable '$cmsimple_pwHasher'?

Weil ich sie so genannt habe

Was hat die Variable $cmsimple_pwHasher mit der Zeichenfolge xc6oMd3Rs689 zu tun? Lern php, bevor Du hier die Leute verunsicherst

[Gonzo Gates]

Hallo Gert,

jetzt verstehe ich, dass das der 'Salt' war oder ist und es mit dem KW den Hash (wahrscheinlich SHA1 verschlüsselt) ergibt. Ist trotzdem keine gute Idee ihn 'cleartext' in das Coding einzubinden. Vor 20 Jahten hatte M$ einen Standard-Salt, und der war noch kürzer, im AD, respektive im OS. Hätten sie auch gleich reinschreiben können: 'MadTdTlo' (Macht auf die Tür das Tor lasst offen).

Und es ixt egal, ob es C/C++, Python oder PERL ist.

Gruß
Gonzo

[Gert]

jetzt verstehe ich, dass das der 'Salt' war oder ist und es mit dem KW den Hash (wahrscheinlich SHA1 verschlüsselt) ergibt.

Vollkommener Quatsch. Du hast NICHTS verstanden. Die Zeichenfolge xc6oMd3Rs689 hat rein gar nichts mit dem Passwort oder dem Passwort Hash zu tun. Der Code:

Code: Select all

if ($cmsimple_pwHasher->CheckPassword($passwd, $cf['security']['password']) && $cmsimpleLogin !== 'closed')
{
    ... 
}

... ist nur noch einmal eine Nachfrage, ob das Passwort stimmt und alle Bedingungen für ein Login erfüllt sind.

Die Zeichenfolge xc6oMd3Rs689 wurde lediglich für den Namen eines Cookies verwendet, wenn sich im Pfad vom DomainRoot über das CMSimpleRoot zum SiteRoot ($sn) ein Punkt befindet. Also ein höchst unwahrscheinlicher Fall, da müsste jemand einen Ordnernamen mit einem Punkt verwendet haben. Zuvor wurde schon "index.php" aus $sn entfernt:

Code: Select all

setcookie('status' . str_replace('.','xc6oMd3Rs689',str_replace('index.php','',$sn)), 'adm', 0, CMSIMPLE_ROOT);

Ist schon lange nicht mehr nötig, seit $sn schon in der cms.php entsprechend definiert ist. Deshalb habe ich das in Version 5.14 entfernt.

Dieses Cookie war mal dazu gedacht, sich mit einem Login in alle Zweitsprachen und Subsites mit dem gleichen Passwort einzuloggen. Hat sich nicht bewährt und ist schon seit einer Ewigkeit kein Thema mehr. In der nächsten Version wird das Login weiter gestrafft, da wird gar kein Cookie unter Verwendung von $sn und mit dem Gültigkeitsbereich "CMSIMPLE_ROOT und Unterordner" gesetzt werden.

Diese Erklärungen sind nicht für Gonzo gedacht, sondern zur Beruhigung aller Anwender, die sich vielleicht von Gonzo haben verunsichern lassen

Gert