ACP-LogIn deaktivieren

BaerchenHH · Beitrag von **BaerchenHH** » 09.04.2008 19:05

Ich würde ganz gerne den LogIn um zum ACP zu gelangen deaktivieren...

Es soll so funktionieren, wie um zum MCP zu gelangen... also ein normaler User-LogIn sollte ausreichen.

Welche Zeilen muß ich dafür wo ausklammern??

Ogniquok · Beitrag von **Ogniquok** » 09.04.2008 22:14

adm/index.php:

Code: Alles auswählen

SUCHE:
// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
	login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}

ERSETZEN MIT:
// Have they authenticated (again) as an admin for this session?
//if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
//{
//	login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
//}

Ist aber NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!

BaerchenHH · Beitrag von **BaerchenHH** » 09.04.2008 23:33

Ogniquok hat geschrieben:Ist aber NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!

Das habe ich mir schon gedacht, und das daß die Sicherheit schwächt, kann ich mir gut vorstellen, aber zum einen kenne ich mein PW und finde es recht mühselig, dieses immer wieder mehrfach hintereinander eingeben zu müßen, zum anderen, wer im ersten LogIn mein PW knacken konnte (wobei recht schwer, da Alphanumerisch mit SZ), kennt es bereits für den zweiten LogIn...

Aber mal davon ab, möchte ich es nur für die Installations- und Testphase deaktivieren, daher ja auch meine Frage hiernach und nicht nach löschen...

Danke dir !

Beitrag von **bantu** » 10.04.2008 08:08

BaerchenHH hat geschrieben:
Ogniquok hat geschrieben:Ist aber NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!
Das habe ich mir schon gedacht, und das daß die Sicherheit schwächt, kann ich mir gut vorstellen, aber zum einen kenne ich mein PW und finde es recht mühselig, dieses immer wieder mehrfach hintereinander eingeben zu müßen, zum anderen, wer im ersten LogIn mein PW knacken konnte (wobei recht schwer, da Alphanumerisch mit SZ), kennt es bereits für den zweiten LogIn...

Unter Umständen meldest du dich mit einem Cookie über die Automatisch-Anmelden-Funktion an. Dann hätte jeder gleich Zugriff auf das ACP, sofern er an deinen Browser kommt. Ganz ohne Passwort.

BaerchenHH · Beitrag von **BaerchenHH** » 10.04.2008 11:35

bantu hat geschrieben:... sofern er an deinen Browser kommt. Ganz ohne Passwort.

Jup, aber da muß man erstmal ran kommen können...

Software- und NAT-Firewall, von entsprechenden NW-Einstellungen ganz zu schweigen...
LogIn-Sperren für den Dektop, Boot-Menü uns BIOS...
Dazu GoBack installiert, welches die Part. eh umschreibt bzw. maskiert und ebenfalls mit PW geschützt ist..
... Alles Alphanumerisch mit SZ (und immer schön ein anderes)

Das ist bei phpbb3 ja (noch) nicht möglich - nur für die 2er-V hatte ich mal nen MOD dafür gesehen
Aber daß nur am Rande und wie gesagt, ich möchte es nur für die Installations- und Testphase deaktivieren!

Beitrag von **bantu** » 10.04.2008 12:03

BaerchenHH hat geschrieben:Software- und NAT-Firewall, von entsprechenden NW-Einstellungen ganz zu schweigen...
LogIn-Sperren für den Dektop, Boot-Menü uns BIOS...
Dazu GoBack installiert, welches die Part. eh umschreibt bzw. maskiert und ebenfalls mit PW geschützt ist..
... Alles Alphanumerisch mit SZ (und immer schön ein anderes)

Klar. Umhauen und hinhocken.

BaerchenHH hat geschrieben:Das ist bei phpbb3 ja (noch) nicht möglich - nur für die 2er-V hatte ich mal nen MOD dafür gesehen

Was meinst du?

BaerchenHH · Beitrag von **BaerchenHH** » 10.04.2008 14:46

sorry, meinte unterschiedliche PWs

Beitrag von **oxpus** » 18.04.2008 19:38

BaerchenHH hat geschrieben:sorry, meinte unterschiedliche PWs

Ich glaube, Du meinst diesen hier: http://www.oxpus.de/downloads.php?view=detail&df_id=395

Wobei ich immer noch nicht verstehe, warum sowas nicht Standard in einem Forumsystem wird, so gerade der Admin-Zugang doch das heikelste überhaupt ist.
Selbst wenn man das Cookie eines Admins in Besitz nehmen kann, würde man spätestens hier daran scheitern, im ACP irgendwas machen zu können, denn dieses Passwort wird bei der Anmeldung nie in ein Cookie geschrieben und ausschliesslich bei der Anmeldung am ACP gegen das in der Datenbank gespeicherte Passwort verglichen.
Sicherer kann man das ACP nur machen, wenn man es mittels .htaccess sichert oder den Server offline nimmt

Nun ja, irgendwann habe ich meine beiden grossen MODs für das phpBB 3 konvertiert und dann kommt auch dieser MOD dran...

@BaerchenHH
Ich würde an Deiner Stelle auch während einer Einrichtungs-/Testphase NIE die Anmeldung am ACP aushebeln!
Dann kann man schneller als Du den Server offline hast schon mehr Schaden anrichten, als durch ein einfaches Backup wiederherstellbar ist.
Besser in den sauren Apfel beissen, als nach oder während der Einrichtung, die sehr mühsam und langwierig sein kann, durch einen Hack alles wieder zu verlieren!

Beitrag von **bantu** » 19.04.2008 10:42

Die Passwörter werden nicht im Cookie gespeichert. Das wäre Quatsch. Deshalb reicht es meiner Meinung nach aus das Passwort beim Anmelden im Administrations-Bereich zu prüfen. Wer einen Extra-Schutz benötigt, sollte eher auf die Webserverebene setzen. Beim Apache z.B. .htaccess/.htpasswd

Beitrag von **oxpus** » 19.04.2008 11:00

Nein, sorry, ich meinte auch nicht, daß das Passwort im Cookie abgelegt wird (wäre ja wirklich fatal!), sondern daß u. a. die Session-ID und das Autologin dort zu finden sind.
Ergo könnte man (theoretisch) mit solch einem Cookie, sofern die Session nicht abgelaufen ist, sich automatisch am Board als Admin anmelden und ggf. auch im ACP einbrechen.

Aber lassen wir das, man ist sich ja scheinbar sicher, daß die jetzige Methode ausreicht...