Forums

  • Alex

    In /e107_admin/prefs.php#nav-core-prefs-uploads vind je de volgende tekst:

    ** Uit beveiligingsoverwegingen mogen deze waarden alleen handmatig worden gewijzigd in het volgende bestand: e107_system/edfa25437f/filetypes.xml

    Nu wanneer je e107 hebt geinstalleerd op een normale shared server onder unix / linux heeft alles in de door e107 aangemaakte map, de server als eigenaar, dit heeft zowel voor- als nadelen, nadeel is dat je niet zomaar even met ftp het bestand filetypes.xml kan downloaden en wijzigen... die rechten liggen namelijk anders.. Voordeel is dat wanneer ik het niet kan... niemand het kan smile

    ppt. staat niet in het lijstje... en nu?

    Vooraanzicht voor een preview is ook niet geheel duidelijk..

     
  • Dan zou de gebruiker van dat systeem dit toch kunnen aanpassen in/middels cPanel enz.. (bestandenbeheer). FTP is niet altijd nodig..
     
  • Alex
    Klopt maar echt gebruikersvriendelijk is het niet op deze manier... ik denk dat hier niet zo goed over nagedacht is..
     
  • Heb een enhancement issue geplaatst wink
     
  • Tijn
    Normaal gesproken, onder het gros van de server configuraties, kan je via FTP gewoon alle bestanden wijzigen. Wanneer dit niet kan vanwege conflicten met de CHMOD rechten dan is de server nog volgens de 'best practices' geconfigureerd.

    Op het moment dat die optie een admin optie wordt, dan wordt het wel heel makkelijk om 'malware' te uploaden via de admin area (en dat is slechts een kwestie van een gelekt wachtwoord).
     
  • Dat is correct @Moc; ik heb weliswaar een Enhancement geplaatst, maar ik heb het er niet bij geplaatst.. (beveiligingsrisico). Ik laat de verantwoording voor een DENIED bij de developer liggen (dan is het onderbouwd).

    Je moet eigenlijk de wens kenbaar maken (voor ideëndoel, maar je weet (in het hoofd) dat het eigenlijk foute boel is (imo)...
     
  • Tijn
    Uiteindelijk ligt de beslissing bij Cameron maar ik vind het risico te groot, en ik denk dat hij te daarmee eens is. Maar goed, we gaat het nog eens overwegen, misschien dat het e.e.a. simpeler gemaakt kan worden.
     
  • Alex
    Hoi Moc, daar gaat het ook om, desnoods tijdens de configuratie / installatie aan laten geven welke je zou willen... Daarnaast denk ik dat als je database gegevens zijn gelekt je sowieso een probleem hebt dus deze string zou gewoon in de database moeten staan? En een normale serverconfiguratie geeft dit probleem, en dan zou je dit niet tegen moeten (willen) komen...
     
  • Tijn
    Ik heb het niet over de database gegevens maar een een simple admin login.

    Als je via de admin area de filetypes extensies kan wijzigen, dan zorgt dit voor een relatief groot beveiligingsprobleem omdat het wachtwoord van een admin account makkelijker 'gekraakt' wordt (omdat deze bijvoorbeeld door de gebruiker op meerdere websites wordt gebruikt) ten opzichte van een FTP of MySQL wachtwoord (wat in principe een willekeurig en complex wachtwoord moet zijn wat nergens anders wordt gebruikt). Het is dan heel simpel om malware via de admin area te uploaden.

    Als je alleen via FTP de filetypes kan wijzigen (wat met een 'goed' geconfigureerde server gewoon moet werken) dan is dit vele malen veiliger.

    Maar goed, de discussie staat op Github dus er zal in de loop van de tijd naar gekeken worden.




     

Moderator(-en):
Laatste Berichten

  Discussie Gebruiker Bekeken Reacties Laatste bericht
news (Beheer van e107) Anko 184 10 Anko
do nov. 14 2024, 05:54P.M. 
Open vraag : wel of niet verwijderen? (Vertaling van e107) Leotgtje 2005 0 -
 
Vstore perikelen (Vertaling van e107) Leotgtje 58248 55 Leotgtje
vr mrt. 29 2024, 06:45P.M. 
new showcase (Questions in English) Jimako 2836 5 aducom
ma feb. 19 2024, 12:09P.M. 
Wie kent deze melding.. (Ditjes en Datjes) erje 2581 3 erje
wo jan. 10 2024, 10:02P.M. 
SourceForge commit (Vertaling van e107) Leotgtje 2924 7 Alex
vr dec. 22 2023, 09:19P.M. 
chat emo (e107.nl) Leotgtje 3074 7 Alex
vr dec. 22 2023, 12:43P.M. 
ze zijn weer bezig (Ditjes en Datjes) Leotgtje 4873 5 Alex
di dec. 12 2023, 07:58P.M. 
2FA plugin (Vertaling van e107) Leotgtje 2827 1 Tijn
di dec. 12 2023, 06:45P.M. 
Thema e107.nl (e107.nl) Alex 2788 3 Alex
za dec. 09 2023, 12:22P.M. 
Discussies: 90 | Reacties: 550 | Bekeken: 570059
Online
  • Online4
  • Leden: 0
  • Nieuwste lid:
  • Totaal geregistreerde leden.36
  • Max. gelijk online: 201
Laatst Gezien Menu