filetypes.xml probleem...
-
In /e107_admin/prefs.php#nav-core-prefs-uploads vind je de volgende tekst:
** Uit beveiligingsoverwegingen mogen deze waarden alleen handmatig worden gewijzigd in het volgende bestand: e107_system/edfa25437f/filetypes.xml
Nu wanneer je e107 hebt geinstalleerd op een normale shared server onder unix / linux heeft alles in de door e107 aangemaakte map, de server als eigenaar, dit heeft zowel voor- als nadelen, nadeel is dat je niet zomaar even met ftp het bestand filetypes.xml kan downloaden en wijzigen... die rechten liggen namelijk anders.. Voordeel is dat wanneer ik het niet kan... niemand het kan
ppt. staat niet in het lijstje... en nu?
Vooraanzicht voor een preview is ook niet geheel duidelijk..
-
Dan zou de gebruiker van dat systeem dit toch kunnen aanpassen in/middels cPanel enz.. (bestandenbeheer). FTP is niet altijd nodig..
-
Klopt maar echt gebruikersvriendelijk is het niet op deze manier... ik denk dat hier niet zo goed over nagedacht is..
-
Heb een enhancement issue geplaatst
-
Normaal gesproken, onder het gros van de server configuraties, kan je via FTP gewoon alle bestanden wijzigen. Wanneer dit niet kan vanwege conflicten met de CHMOD rechten dan is de server nog volgens de 'best practices' geconfigureerd.
Op het moment dat die optie een admin optie wordt, dan wordt het wel heel makkelijk om 'malware' te uploaden via de admin area (en dat is slechts een kwestie van een gelekt wachtwoord). -
Dat is correct @Moc; ik heb weliswaar een Enhancement geplaatst, maar ik heb het er niet bij geplaatst.. (beveiligingsrisico). Ik laat de verantwoording voor een DENIED bij de developer liggen (dan is het onderbouwd).
Je moet eigenlijk de wens kenbaar maken (voor ideëndoel, maar je weet (in het hoofd) dat het eigenlijk foute boel is (imo)... -
Uiteindelijk ligt de beslissing bij Cameron maar ik vind het risico te groot, en ik denk dat hij te daarmee eens is. Maar goed, we gaat het nog eens overwegen, misschien dat het e.e.a. simpeler gemaakt kan worden.
-
Hoi Moc, daar gaat het ook om, desnoods tijdens de configuratie / installatie aan laten geven welke je zou willen... Daarnaast denk ik dat als je database gegevens zijn gelekt je sowieso een probleem hebt dus deze string zou gewoon in de database moeten staan? En een normale serverconfiguratie geeft dit probleem, en dan zou je dit niet tegen moeten (willen) komen...
-
Ik heb het niet over de database gegevens maar een een simple admin login.
Als je via de admin area de filetypes extensies kan wijzigen, dan zorgt dit voor een relatief groot beveiligingsprobleem omdat het wachtwoord van een admin account makkelijker 'gekraakt' wordt (omdat deze bijvoorbeeld door de gebruiker op meerdere websites wordt gebruikt) ten opzichte van een FTP of MySQL wachtwoord (wat in principe een willekeurig en complex wachtwoord moet zijn wat nergens anders wordt gebruikt). Het is dan heel simpel om malware via de admin area te uploaden.
Als je alleen via FTP de filetypes kan wijzigen (wat met een 'goed' geconfigureerde server gewoon moet werken) dan is dit vele malen veiliger.
Maar goed, de discussie staat op Github dus er zal in de loop van de tijd naar gekeken worden.
Laatste Berichten
Discussie | Gebruiker | Bekeken | Reacties | Laatste bericht | |
Open vraag : wel of niet verwijderen? (Vertaling van e107) | Leotgtje | 1820 | 0 | - |
|
Vstore perikelen (Vertaling van e107) | Leotgtje | 57756 | 55 | Leotgtje vr mrt. 29 2024, 06:45P.M. |
|
new showcase (Questions in English) | Jimako | 2639 | 5 | aducom ma feb. 19 2024, 12:09P.M. |
|
Wie kent deze melding.. (Ditjes en Datjes) | erje | 2413 | 3 | erje wo jan. 10 2024, 10:02P.M. |
|
SourceForge commit (Vertaling van e107) | Leotgtje | 2751 | 7 | Alex vr dec. 22 2023, 09:19P.M. |
|
chat emo (e107.nl) | Leotgtje | 2881 | 7 | Alex vr dec. 22 2023, 12:43P.M. |
|
ze zijn weer bezig (Ditjes en Datjes) | Leotgtje | 4723 | 5 | Alex di dec. 12 2023, 07:58P.M. |
|
2FA plugin (Vertaling van e107) | Leotgtje | 2657 | 1 | Tijn di dec. 12 2023, 06:45P.M. |
|
Thema e107.nl (e107.nl) | Alex | 2613 | 3 | Alex za dec. 09 2023, 12:22P.M. |
|
FAQ op e107.nl (e107.nl) | Alex | 2258 | 0 | - |
|
Discussies: 89 | Reacties: 539 | Bekeken: 563427 |