Seite 1 von 2
ACP-LogIn deaktivieren
Verfasst: 09.04.2008 19:05
von BaerchenHH
Ich würde ganz gerne den LogIn um zum ACP zu gelangen deaktivieren...
Es soll so funktionieren, wie um zum MCP zu gelangen... also ein normaler User-LogIn sollte ausreichen.
Welche Zeilen muß ich dafür wo ausklammern??
Verfasst: 09.04.2008 22:14
von Ogniquok
adm/index.php:
Code: Alles auswählen
SUCHE:
// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}
ERSETZEN MIT:
// Have they authenticated (again) as an admin for this session?
//if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
//{
// login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
//}
Ist aber
NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!
Verfasst: 09.04.2008 23:33
von BaerchenHH
Ogniquok hat geschrieben:Ist aber NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!
Das habe ich mir schon gedacht, und das daß die Sicherheit schwächt, kann ich mir gut vorstellen, aber zum einen kenne ich mein PW und finde es recht mühselig, dieses immer wieder mehrfach hintereinander eingeben zu müßen, zum anderen, wer im ersten LogIn mein PW knacken konnte (wobei recht schwer, da Alphanumerisch mit SZ), kennt es bereits für den zweiten LogIn...
Aber mal davon ab, möchte ich es nur für die Installations- und Testphase deaktivieren, daher ja auch meine Frage hiernach und nicht nach löschen...
Danke dir !
Verfasst: 10.04.2008 08:08
von bantu
BaerchenHH hat geschrieben:Ogniquok hat geschrieben:Ist aber NICHT EMPFOHLEN, dieser Login dient der Sicherheit!!!!!
Das habe ich mir schon gedacht, und das daß die Sicherheit schwächt, kann ich mir gut vorstellen, aber zum einen kenne ich mein PW und finde es recht mühselig, dieses immer wieder mehrfach hintereinander eingeben zu müßen, zum anderen, wer im ersten LogIn mein PW knacken konnte (wobei recht schwer, da Alphanumerisch mit SZ), kennt es bereits für den zweiten LogIn...
Unter Umständen meldest du dich mit einem Cookie über die Automatisch-Anmelden-Funktion an. Dann hätte jeder gleich Zugriff auf das ACP, sofern er an deinen Browser kommt. Ganz ohne Passwort.
Verfasst: 10.04.2008 11:35
von BaerchenHH
bantu hat geschrieben:... sofern er an deinen Browser kommt. Ganz ohne Passwort.
Jup, aber da muß man erstmal ran kommen können...
Software- und NAT-Firewall, von entsprechenden NW-Einstellungen ganz zu schweigen...
LogIn-Sperren für den Dektop, Boot-Menü uns BIOS...
Dazu GoBack installiert, welches die Part. eh umschreibt bzw. maskiert und ebenfalls mit PW geschützt ist..
... Alles Alphanumerisch mit SZ (und immer schön ein anderes)
Das ist bei phpbb3 ja (noch) nicht möglich - nur für die 2er-V hatte ich mal nen MOD dafür gesehen
Aber daß nur am Rande und wie gesagt, ich möchte es nur für die Installations- und Testphase deaktivieren!
Verfasst: 10.04.2008 12:03
von bantu
BaerchenHH hat geschrieben:Software- und NAT-Firewall, von entsprechenden NW-Einstellungen ganz zu schweigen...
LogIn-Sperren für den Dektop, Boot-Menü uns BIOS...
Dazu GoBack installiert, welches die Part. eh umschreibt bzw. maskiert und ebenfalls mit PW geschützt ist..
... Alles Alphanumerisch mit SZ (und immer schön ein anderes)
Klar. Umhauen und hinhocken.
BaerchenHH hat geschrieben:Das ist bei phpbb3 ja (noch) nicht möglich - nur für die 2er-V hatte ich mal nen MOD dafür gesehen
Was meinst du?
Verfasst: 10.04.2008 14:46
von BaerchenHH
sorry, meinte unterschiedliche PWs
Verfasst: 18.04.2008 19:38
von oxpus
BaerchenHH hat geschrieben:sorry, meinte unterschiedliche PWs
Ich glaube, Du meinst diesen hier:
http://www.oxpus.de/downloads.php?view=detail&df_id=395
Wobei ich immer noch nicht verstehe, warum sowas nicht Standard in einem Forumsystem wird, so gerade der Admin-Zugang doch das heikelste überhaupt ist.
Selbst wenn man das Cookie eines Admins in Besitz nehmen kann, würde man spätestens hier daran scheitern, im ACP irgendwas machen zu können, denn dieses Passwort wird bei der Anmeldung nie in ein Cookie geschrieben und ausschliesslich bei der Anmeldung am ACP gegen das in der Datenbank gespeicherte Passwort verglichen.
Sicherer kann man das ACP nur machen, wenn man es mittels .htaccess sichert oder den Server offline nimmt
Nun ja, irgendwann habe ich meine beiden grossen MODs für das phpBB 3 konvertiert und dann kommt auch dieser MOD dran...
@BaerchenHH
Ich würde an Deiner Stelle auch während einer Einrichtungs-/Testphase NIE die Anmeldung am ACP aushebeln!
Dann kann man schneller als Du den Server offline hast schon mehr Schaden anrichten, als durch ein einfaches Backup wiederherstellbar ist.
Besser in den sauren Apfel beissen, als nach oder während der Einrichtung, die sehr mühsam und langwierig sein kann, durch einen Hack alles wieder zu verlieren!
Verfasst: 19.04.2008 10:42
von bantu
Die Passwörter werden nicht im Cookie gespeichert. Das wäre Quatsch. Deshalb reicht es meiner Meinung nach aus das Passwort beim Anmelden im Administrations-Bereich zu prüfen. Wer einen Extra-Schutz benötigt, sollte eher auf die Webserverebene setzen. Beim Apache z.B. .htaccess/.htpasswd
Verfasst: 19.04.2008 11:00
von oxpus
Nein, sorry, ich meinte auch nicht, daß das Passwort im Cookie abgelegt wird (wäre ja wirklich fatal!), sondern daß u. a. die Session-ID und das Autologin dort zu finden sind.
Ergo könnte man (theoretisch) mit solch einem Cookie, sofern die Session nicht abgelaufen ist, sich automatisch am Board als Admin anmelden und ggf. auch im ACP einbrechen.
Aber lassen wir das, man ist sich ja scheinbar sicher, daß die jetzige Methode ausreicht...