Sicherheitslücke in Contao ? / Vorschau für mehrere Domains

Da meiner Meinung nach jetzt zwei unterschiedliche Fragen mit teilweise gemeinsamen Kontext hier zusammengefasst wurden, hier ein kleines Menü:

Die Frage, "Sicherheitslücke in Contao (Ja oder Nein)?" findet sich ab Beitrag #25.

Die Überlegung, wie eine Vorschau auch für Multidomain-Betrieb realisert werden könnte folgt direkt im Anschluss.

#################################################

Aktualisierter Patch für TL-Version 2.8.2 ist weiter unten hinzugefügt.
siehe Betrag #24

Dieser enthält entgegen den ersten Versionen auch eine erweiterte Rechteprüfung. Details siehe auch im PDF im Beitrag #13.


TYPOlight besitzt eine sinnvolle und gute Möglichkeit mit nur einer Installation mehrere Internetseiten mit unterschiedlichen Domains (oder auch Subdomains) zu unterstützen.

Leider kann beim Aufruf der Vorschau bisher immer nur die Internetseite angeschaut werden, welche mit dem Domain-Namen des Backend übereinstimmt.


Die nachfolgende Anleitung beschreibt, wie in die Vorschau eine Auswahlmöglichkeit der zu überprüfenden Domain ergänzt werden kann und hierbei die Funktionen „Frontend User simulieren“, sowie „Unveröffentliche Elemente Anzeigen“ genutzt werden kann, ohne eine Neuanmeldung.
Diese Funktion wurde schon mehrfach gewünscht. (u.a. http://https://contao.org/issues/show/1384)

ACHTUNG: Es werden drei Dateien des TYPOlight-Core verändert. Bei einem Update geht diese Funktion wieder verloren!

Das Prinzip des Domain-Wechsels beruht auf der Tatsache, dass im Frontend an sehr wenigen Stellen der aufgerufene Domain-Name (gespeichert in Enviroment->host) zur Auswahl der zugehörigen Seite genutzt wird.

An genau diesen Stellen wird, falls ein zusätzliches Cookie gesetzt wurde, statt des aufgerufenen Domain-Namens der gewählte Domain-Namen der Vorschau eingesetzt. Die Änderungen am TYPOlight-core sind mit ein paar Zeilen Code erreicht. Der Hauptaufwand ist mal wieder die GUI um die Auswahl der Domain in die Vorschau zu bringen.

Die Anpassungen im Detail bezogen auf die Versionen 2.8.RC2 und 2.7.6 (Zeilennummer stimmen in beiden Versionen an den genannten Stellen noch überein!):

index.php im TL_ROOT-Verzeichnis:
Nach der Zeile 99 sind die folgenden beiden Zeilen einzufügen

Code:

---

if ($this->Input->cookie('FE_HOST') != "")
  $strHost = $this->Input->cookie('FE_HOST');

---

Weiterhin sind die Zeilen 152-155 durch folgende zu ersetzen:

Code:

---

$strHost = $this->Environment->host;
if ($this->Input->cookie('FE_HOST') != "")
  $strHost = $this->Input->cookie('FE_HOST');
  if ($strDomain != $strHost)
  {
    $objHandler = new $GLOBALS['TL_PTY']['error_404']();
    $objHandler->generate($objPage->id, $strDomain, $strHost);

---

frontend.php im Verzeichnis TL_ROOT/system/modules/frontend:
Nach der Zeile 123 sind folgende Zeilen einzufügen:

Code:

---

if ($this->Input->cookie('FE_HOST') != "")
  $host = $this->Input->cookie('FE_HOST');

---

Zusätzlich werden noch die Dateien switch.php im TL_ROOT/typolight Verzeichnis und ein neues Template be_switch.tpl benötigt für die GUI. Die Dateien sind als Anlage beigefügt und enthalten umfangreichere Änderungen (zusammen 30 Zeilen Code). Als letztes wird noch ein Label in der langconfig.php angelegt.


PS: Ich hoffe, dass diese Änderung später noch einmal in das core einfließen.

He weke,

coole anleitung. Aber warum fragtst du nicht gleich ab, ob der BE-User angemeldet ist? Ist doch schon über BE_USER_LOGGED_IN abfragbar?

Ansonsten ist nur eines komisch. Warum behaupten die, die das ganze schon länger machen als du, dass das nicht geht, wenn nur ein paar zeilen code reichen?

richie

Hi Richie,

Zitat:

---

Zitat von richie1168

Aber warum fragtst du nicht gleich ab, ob der BE-User angemeldet ist? Ist doch schon über BE_USER_LOGGED_IN abfragbar?

---

So einfach ist das nicht. Da es bisher im Frontend nur eine einzige Situation gibt, in der ein Login eines Backend Users angemeldet sein muss, ist das Flag BE_USER_LOGGED_IN im Frontend folgendermaßen belegt worden:
Ein Backend-User ist angemeldet und das Cookie FE_PREVIEW ist gesetzt.
(schau mal in die Funktion getLoginStatus in der Frontend.php an)

Zitat:

---

Zitat von richie1168

Ansonsten ist nur eines komisch. Warum behaupten die, die das ganze schon länger machen als du, dass das nicht geht, wenn nur ein paar zeilen code reichen?

---

Spaßvogel!
Wer eine Lösung kennt, versteht vielleicht nicht, dass das finden der Lösung mit unter sehr schwer sein kann. Warum gibt es den Transistor noch keine 100 Jahre, obwohl Silizium schon seit etwa 1800 bekannt ist?

He weke,

das mit dem backenuser habe ich verstanden. das mit dem "es geht" oder "es geht nicht" noch nicht.
hab mal ein ticket erstellt (#1479), wurde aber gleich als duplicat abgeschmettert.

kann mir hier irgend wer erklären, ob das nun so wie beschrieben geht oder nicht? wenn ich schon den core patche, dann würde ich gerne einen proft-tipp bekommen, ob ich mir damit eine backdoor einbaue, oder so etwas.

danke richie

Selbstverständlich ist das eine Sicherheitslücke, deswegen wurde das Feature ja bisher nicht umgesetzt. Wir behaupten ja nicht zum Spaß von einer vermeintlich ganz einfach umzusetzenden Funktion, dass sie nicht implementiert werden kann. Der Autor weigert sich nur leider, das einzusehen.

Durch den Patch kann jeder Benutzer jeden Startpunkt aufrufen, auch wenn er eigentlich gar keine Zugriffsrechte für diesen hat! Schlimmer noch, er kann dort Nutzer an- und abmelden und sogar versteckte Inhalte aufrufen. Das ist besonders brisant, wenn sich mehrere verschiedene Firmen eine TL-Installation teilen (Multidomainbetrieb). Das ganze geht dann sogar noch über leicht manipulierbare Cookies, die auch außerhalb der switch.php gesetzt werden können. Insofern kann ich nur raten, auf den Einsatz solcher zweifelhaften Lösungen zu verzichten!

Hi Leo,

Zitat:

---

Zitat von leo

Selbstverständlich ist das eine Sicherheitslücke, deswegen wurde das Feature ja bisher nicht umgesetzt. Wir behaupten ja nicht zum Spaß von einer vermeintlich ganz einfach umzusetzenden Funktion, dass sie nicht implementiert werden kann. Der Autor weigert sich nur leider, das einzusehen.

---

Ich kann deiner Argumentation nicht ganz folgen.
1. Ich weise (zwar in der letzten Zeile) darauf hin, dass das cookie gemäß meinem Patch immer ausgewertet wird, was definitiv in Abhängigkeit der TL-Installation äußerst unsicher sein kann.
2. Ich habe noch kein Argument gefunden, dass mich vom gegenteil überzeugen konnte.

Zitat:

---

Zitat von leo

Durch den Patch kann jeder Benutzer jeden Startpunkt aufrufen, auch wenn er eigentlich gar keine Zugriffsrechte für diesen hat!

---

Hier fehlt wie gesagt noch die Prüfung auf einen angemeldeten Backend-User. Im oben gezeigten Beispiel (oder sollte ich sagen proof-of-concept) habe ich diesen Punkt weg gelassen, da ich z.b. deine Funktion getLoginStatus nicht ohne Änderung nutzen konnte. Das Beispiel sollte nicht so viel im core ändern.

Zitat:

---

Zitat von leo

Schlimmer noch, er kann dort Nutzer an- und abmelden und sogar versteckte Inhalte aufrufen. Das ist besonders brisant, wenn sich mehrere verschiedene Firmen eine TL-Installation teilen (Multidomainbetrieb). Das ganze geht dann sogar noch über leicht manipulierbare Cookies, die auch außerhalb der switch.php gesetzt werden können. Insofern kann ich nur raten, auf den Einsatz solcher zweifelhaften Lösungen zu verzichten!

---

Den Vorwurf kann ich nicht auf mir sitzen lassen!
Dieser Teil der Funktion stammt von dir, nicht von mir. Hier habe ich nichts geändert!
Und da du das hier doch eigentlich ordentlich umgesetzt hast, kann die Nutzer An- und Abmeldung, sowie der Aufruf versteckter Inhalte nur dann durchführen, wenn er im Backend angemeldet ist (bei den Nutzern muss er sogar admin sein, wenn ich das richtig in Erinnerung habe).

Wenn du über vermeintliche schwere Lücken berichtest, dann begrenze das bitte schön auf meine Teil und nicht auf deinen in den Version 2.7.6 und 2.8.RC2.
Selbstverständlich stehe ich für sachliche Diskussionen zur Verfügung.

PS: Einen Hinweis auf bzgl. Proof-of-concept habe ich hinzugefügt!

Wie denn nun?

Zitat:

---

Zitat von weke

Zitat von leo
Schlimmer noch, er kann dort Nutzer an- und abmelden und sogar versteckte Inhalte aufrufen. Das ist besonders brisant, wenn sich mehrere verschiedene Firmen eine TL-Installation teilen (Multidomainbetrieb). Das ganze geht dann sogar noch über leicht manipulierbare Cookies, die auch außerhalb der switch.php gesetzt werden können. Insofern kann ich nur raten, auf den Einsatz solcher zweifelhaften Lösungen zu verzichten!
Den Vorwurf kann ich nicht auf mir sitzen lassen!
Dieser Teil der Funktion stammt von dir, nicht von mir. Hier habe ich nichts geändert!
Und da du das hier doch eigentlich ordentlich umgesetzt hast, kann die Nutzer An- und Abmeldung, sowie der Aufruf versteckter Inhalte nur dann durchführen, wenn er im Backend angemeldet ist (bei den Nutzern muss er sogar admin sein, wenn ich das richtig in Erinnerung habe).

Wenn du über vermeintliche schwere Lücken berichtest, dann begrenze das bitte schön auf meine Teil und nicht auf deinen in den Version 2.7.6 und 2.8.RC2.

---

gibt es hier nun eine schwere sicherheitslücke im aktuellen ungepatchten core?
hat das schon mal einer ausprobiert?
wo sind die haken?

richie

Zitat:

---

Zitat von richie1168

gibt es hier nun eine schwere sicherheitslücke im aktuellen ungepatchten core?

---

Ich kenne nur diese, wenn du das meinst.
https://contao.org/neuigkeiten/items...stalltool.html

Zitat:

---

Zitat von weke

Den Vorwurf kann ich nicht auf mir sitzen lassen!
Dieser Teil der Funktion stammt von dir, nicht von mir. Hier habe ich nichts geändert!

---

Doch, du hast die Möglichkeit der Vorschau erweitert, was ja dein Ziel war.
Das war aber nie Ziel von Leo gewesen aus genannten Gründen.

Hi BugBuster,

Zitat:

---

Zitat von BugBuster

Doch, du hast die Möglichkeit der Vorschau erweitert, was ja dein Ziel war.
Das war aber nie Ziel von Leo gewesen aus genannten Gründen.

---

Ich bezog mich auf den folgenden Teil von Leo:
"Schlimmer noch, er kann dort Nutzer an- und abmelden und sogar versteckte Inhalte aufrufen."

Ich kann dir gerne erklären wie das auch in der original Version von Leo geht. Daher meine Aussage, dass dieser Teil nicht von mir stammt.
Gerne werde ich mich mal hinsetzen und noch eine Sicherheitsüberprüfung ergänzen. Ich bin jedoch die nächsten Tage unterwegs und habe keine Zeit. Also nicht wundern, wenn ich mich nicht gleich wieder melde.

Extrem schwer ist das nicht, aber auch alles andere als leicht.

Ich will mich mit Leo direkt in Verbindung, um das ganze zu besprechen, aber erst nachdem er die Version 2.8 fertig hat. Bis dahin hat er noch genug zu schaffen und so eine Änderung soll nicht unüberlegt und schnell integriert werden. Ich habe nur ein Problem mit Pauschal aussagen. "Geht nicht, wegen Cookie-Gültigkeit". In meinem Proof-of-concept wird die Cookie Gültigkeit nicht beschädigt. Weiterhin habe ich auch deutlich auf die ungeprüfte Auswertung von FE_HOST hingewiesen (sogar extra rot markiert). Somit kann natürlich die von mir gezeigte Lösung nicht für alle Installationen pauschal genutzt werden.

Zu guter letzt: Ich ich ziehe meinen Hut vor der Leistung von Leo, mit der er das hier geschaffen hat, auch wenn das nicht immer so von mir zu lesen ist.

Zitat:

---

Zitat von weke

Ich bezog mich auf den folgenden Teil von Leo:
"Schlimmer noch, er kann dort Nutzer an- und abmelden und sogar versteckte Inhalte aufrufen."

---

Ja, schon klar, ich denke Leo meint hier aber von "fremden" Domains.
Nichts gegen versteckte Inhalte, eine Funktion die ich sehr oft nutze um zu testen bevor ich es veröffentliche.

gibts hierzu schon was neues?

richie

Ja, es gibt was neues!

Ich habe mal eine Betrachtung bzgl. der Vorschau erstellt und die "Schwachstellen" (nicht zu wörtlich nehmen) in Bezug zur Benutzerverwaltung hier eingestellt. Weiterhin ist auch ein Patch vorhanden, dass zumindest zwei Punkte von TYPOlight Version 2.8.0 und 2.8.1 löst.

Update: Das Patch wurde heute (25.2.) aktualisiert. Prüfung auf gültiges Cookie wurde nochmals erweitert.

Hm. Das mit der Mail würde ich nicht persönlich nehmen, das sieht eher nach genereller und durchaus nachvollziehbarer Policy von Leo aus.

Zitat:

---

Zitat von weke

Aber mal sehen, wie lange mein Account hier noch gilt und wann meine Beiträge gelöscht werden.

---

Das ist doch hier nicht die Fortsetzung des Kindergartens mit anderen Mitteln ...

;-)

Carolina.

Hi Carolina,

ich hoffe du meintest nicht mich...
Ich versuche einfach nur eine Lösung für ein Problem zu finden, für das es angeblich keine einfache Lösung gibt. Einen Konkreten Vorschlag habe ich schon gemacht und bekomme als Antwort nur so was in der Art "Das Ding ist des Teufels".

Ich bin offen für alle Anmerkungen, wenn bei meiner Idee noch irgend etwas nicht funktioniert. Sofern keine Probleme mehr existieren (vielleicht noch nicht jetzt aber später bestimmt) komme ich an Leo nicht vorbei, da Änderungen am Core notwendig sind.

Somit: Aufruf an alle, zu kommentieren!

Von der Sache her kann ich es nicht wirklich beurteilen, da mir die Programmierkenntnisse fehlen. Aber sachliche Auseinandersetzung sieht halt anders aus als

Zitat:

---

Aber mal sehen, wie lange mein Account hier noch gilt

---

oder

Zitat:

---

Mails von mir beantwortet er nicht

---

Hand aufs Herz: Du bist halt schon recht schnell eingeschnappt, wie man bei uns in Bayern sagen würde. Ich denke mal, dass Leo sich jeden Tag ungefähr zehnmal anhören muss, welche konzeptionellen Mängel TL aus der Sicht vieler Neulinge hat.

Dein PDF ist immerhin ein Beweis dafür, dass Du nicht so schnell aufgibst und dass du dich wirklich mit der Sache beschäftigt hast. Insofern hast Du den "beleidigte-Leberwurst-Modus" eigentlich gar nicht nötig, oder? Geduld, wenn an deinen Ideen was dran ist, werden die Cracks hier im Forum das auch so beurteilen. Denn eine Mandanten-Trennung wäre sicherlich eine coole Sache.

BTW: ist "sturr" eine selbstreferenzielle Falschschreibung von "stur", auf der du beharrst, weil Du "stur" bist? Das hätte was von ZEN ... ;)

1. Danke für den Hinweis auf den Tippfehler in der Signatur (sollte ich vielleicht auch mal selbst lesen...)

2. Ja, manchmal bin ich ungeduldig!

erneute nachfrage!
hat sich das schon mal jemand ernsthaft angesehen?

riechie

Patch für Version 2.8.0 wurde nochmals verfeinert.

siehe
https://community.contao.org/de/show...3662#post43662

Der Patch gilt auch unverändert für die Version 2.8.1.
Die zu verändernden Dateien haben sind von der Version 2.8.0 zur 2.8.1 unverändert geblieben.

Hier noch ein Hinweis zur verwendeten Sicherheitsüberprüfung und den Maßnahmen zum verhindern einer unberechtigten Ausnutzung.

Da der gewünschte Domainname für die Vorschau mittels eines Cookies übertragen wird und dieses zusätzlich in einer SQL-Anfrage eingesetzt wird, muss sichergestellt sein, das mit dieser Einführung keine Sicherheitslücken entstehen.
Das Cookie könnte verändert werden und im ungünstigsten Fall für SQL-Injections missbraucht werden. Um dieses zu Verhindern sind im beigefügten Patch folgende Punkte berücksichtigt worden:

1. Es muss eine gültige Session eines Backend-Users existieren. Hierzu nutze ich den Algorithmus von Leo, welchen er bereits für das Anzeigen von unveröffentlichten Elementen eingeführt hat. Dieses hat den Vorteil, dass gefälschte oder abgelaufene Sessions bereits erkannt werden. In einem solchen Fall wird wie bisher der Hostname aus der aufgerufenen URL genutzt.

2. Danach wird ein Backend-User-Object angelegt um die Pagemount des Backend-User zu ermitteln. Hierzu nutze ich rein die Klasse von Leo. Durch die vorhergehende Prüfung ist sichergestellt, dass das instantiieren der Klasse nicht zum Anmeldedialog weiterleitet. Kleiner Nachteil ist hierbei, dass eine abgelaufene Session nicht in der Vorschau durch Neuanmeldung reaktiviert werden kann.

3. Sobald die Pagemount des Backend-Users vorliegt, werden alle Startpunkte einer Webseite zu der Pagemount gesucht und deren DNS-Einträge ermittelt. (Bei angemeldeten Admins werden alle Startpunkte einer Webseite herangezogen)

4. Bevor der im Cookie übermittelte Hostname genutzt wird, wird geprüft, ob dieser in der zuvor ermittelten benutzerspeziefischen Liste von DNS-Einträgen enthalten ist. Falls nicht wird wiederum der Hostname aus der aufgerufenen URL genutzt. Somit kann sichergestellt werden, dass im Cookie nichts anderes erlaubt ist, als die DNS-Einträge aus den Startpunkten einer Webseite.

5. Sollte der Hostname im Cookie nicht in den DNS-Einträgen enthalten sein und auch kein Startpunkt einer Webseite existieren, der keinen DNS-Eintrag besitzt, dann wird das Cookie zur Vorschau unveröffentlichter Elemente gelöscht. Dieses hat den Vorteil, dass ein Backend-User nur bei den Domains die Vorschau unveröffentlichter Elemente aktivieren kann, die er auch bearbeiten kann.

PS: Bisher gibt es zu dem Patch mit Sicherheitsüberprüfung noch keine einzige Rückmeldung. Daher sollten sich hiermit nur diejenigen beschäftigen, die wissen was sie machen.

Anbei der Patch für die TL-Version 2.8.2.

Ermöglicht das wechseln der Domain in der Vorschau ohne Neuanmeldung und verhindert das Anzeigen von versteckten Inhalten für Benutzer, welche in der aktuell gewählten Domain keine Bearbeitungsrechte besitzen.

Zur Sicherheit: Siehe vorherigen Eintrag.

Known Bug: Noch wird nicht automatisch die Domain der aktuell bearbeiteten Seite vorausgewählt, wenn in die Vorschau gewechselt wird.

Anbei der Patch für die TL-Version 2.8.3.

Ermöglicht das wechseln der Domain in der Vorschau ohne Neuanmeldung und verhindert das Anzeigen von versteckten Inhalten für Benutzer, welche in der aktuell gewählten Domain keine Bearbeitungsrechte besitzen.

Zur Sicherheit: Wie zuvor.

Known Bug: Wie zuvor.

Sicherheitslücke in Contao: Benutzern werden Informationen angezeigt, die sie nicht sehen sollten, oder...?

Ein Problem, zwei unterschiedliche Bewertungen von Leo.

Ich möchte gerne verstehen, wie das nachfolgend beschriebenen Problem zu bewerten ist und ob es bei den beiden Bewertungen wirklich Unterschiede gibt. Falls ja, wo ist der entscheidende Unterschied?

Das grundlegende Problem ist, dass sich Benutzer in der Vorschau unveröffentlichte Elemente anzeigen lassen können, auch wenn diese in Bereichen bzw. auf Seiten liegen, auf denen der Benutzer keine Bearbeitungsrechte haben.

Dieses kann beispielsweise auf zwei Arten reproduziert werden.
1. Ast im Baum:
Ein Benutzer kann in einem Seitenbaum nur einen Ast bearbeiten, erhält aber für alle Seiten die Vorschau unveröffentlichte Elemente.
2. MultiDomain:
Ein Benutzer hat in nur einer Domain (Startpunkt einer Webseite) bearbeitungsrechte. Er kann sich jedoch auf allen Domains dieser Installation anmelden und kann dann in allen Seiten der Anmeldedomain die Vorschau unveröffentlichte Elemente nutzen auch ohne Bearbeitungsrechte.

Hierzu wurde auch schon mal ein Ticket #567 erstellt, das schon seit März 2009 existiert. Letzter Beitrag von Leo vom Mai 2010 besagt, dass "[..] lässt sich das leider nicht mit vertretbarem Aufwand umsetzen."

Andererseits bewertet Leo genau dieses Verhalten in meinem Patch als Sicherheitslücke, wie er hier beschreibt und hier noch mal aktuell darauf verweist.
Zugegeben, zwischen seinem ersten und zweiten Post hierzu wurde an dem Patch noch die Rechteprüfung verfeinert, so dass das aktuelle Patch nicht mehr erlaubt, als die ungepatchte original Version.

Ist das anzeigen unveröffentlichter Elemente, die ein Benutzer nicht Bearbeiten kann, jetzt ein Sicherheitsproblem oder nicht? Hierbei bitte beide Varianten (siehe oben) betrachten.

Ich möchte das gerne Verstehen!

PS: Bitte nicht meine Frage mit Bezug auf Leos Aussage "Schlimmer noch, er kann dort Nutzer an- und abmelden" abwiegeln. Das geht mit und ohne Patch nur für Administratoren, die können sowieso alles.
Ist also in diesem Kontext irrelevant. Das hatte Leo beim kurzen Testen wahrscheinlich übersehen, kann passieren.
In der aktuellen Version meines Patches sieht der Anwender auch nur noch die Domains, in welchen er Seiten bearbeiten darf und kann auch nicht über ein manipuliertes Cookie keine anderen Domains Auswählen.

Ja, der Anfang dieses Themas ist so ausgelegt, das hoffentlich viele das lesen und mir beim Verstehen helfen.

Da es zu diesem Thema schon einen Thread von dir gibt, habe ich die beiden Threads zusammengeführt. So ist die gesamte Diskussion mit allen bisherigen Argumenten auch gleich dabei, damit die Leute die Vorgeschichte kennen falls sie sich daran beteiligen wollen.

Hi Nina,

Zitat:

---

Zitat von Nina

Da es zu diesem Thema schon einen Thread von dir gibt, habe ich die beiden Threads zusammengeführt. So ist die gesamte Diskussion mit allen bisherigen Argumenten auch gleich dabei, damit die Leute die Vorgeschichte kennen falls sie sich daran beteiligen wollen.

---

naja, dieser Thread war eigentlich dazu gedacht zu Zeigen, dass eine Vorschau auch für mehrere Domains funktioniert.

Der neue Threat hatte die folgende Frage als Kernthema:

Zitat:

---

Zitat von weke

Ist das Anzeigen unveröffentlichter Elemente, die ein Benutzer nicht Bearbeiten kann, jetzt ein Sicherheitsproblem oder nicht?

---

Das es einen Querverweis auf diesen Thread gibt, ist nur logisch, aber auch das Ticket #567 ist davon betroffen.
Generell bezieht sich diese Frage auf die ungepatchte original Version von Contao (bzw. TYPOlight). Daher hatte ich das eher als neuen Threat gesehen, da die Lösung zu diesem Problem nicht die Intension meines Patches ist, auch wenn ich aufgrund von Leos Kommentar da noch was nachgerüstet hatte.

Aber wir können gerne die zwei Themen unter eins zusammenfassen.

Ziemlich viel Feadback für die Frage noch einer möglichen Sicherheitslücke in der aktuellen Contao Version.

Nach einem Monat noch keine einzige Antwort. Schade.

Demnach gehe ich davon aus, dass das Anzeigen von verborgenen Inhalten für alle Benutzer über alle Domains und Seiten einer Contao Installation, unabhängig von den Benutzerrechten, als annehmbarer Zustand und nicht als Sicherheitslücke gewertet werden muss.

Demnach muss ich dann auch davon ausgehen, dass ein Multidomainbetrieb, bei dem sich mehrere Firmen eine Installation teilen, aus Sicherheitsbetrachtung nicht angeraten werden kann.

Schade. Ich hatte eigentlich auf "echte" Kommentare gehofft. Mein Ziel war es ein echt gutes System noch etwas besser zu machen und nicht schlecht zu reden.
Stattdessen bekomme ich nur Aussagen wie "das geht nicht, weil wir das schon so oft gesagt haben" und es werden Sicherheitsbedenken geäußert, die fast alle nicht auf meinen Vorschlag bezogen waren, sondern bereits existieren und an anderer Stelle als unkritisch gesehen werden.
(siehe #5, das mit dem Cookie war jedoch ein guter Hinweis, den ich auch umgesetzt habe!)

Hi,

Zitat:

---

Zitat von weke

Demnach muss ich dann auch davon ausgehen, dass ein Multidomainbetrieb, bei dem sich mehrere Firmen eine Installation teilen, aus Sicherheitsbetrachtung nicht angeraten werden kann.

---

Vielleicht liegt das daran, dass wir alle längst erkannt haben, dass das nicht nur aus Sicherheitsgründen sowieso keinen Sinn macht (Umzug von einzelnen Domains, keine doppelten Aliase, keine gleichen User-/Benutzernamen, man muss alle auf einmal Updaten und testen etc.)

Also: Ein Kunde/Projekt = eine Installation.

Jan

Hallo,

Zitat:

---

Zitat von ETES

Vielleicht liegt das daran, dass wir alle längst erkannt haben, dass das nicht nur aus Sicherheitsgründen sowieso keinen Sinn macht (Umzug von einzelnen Domains, keine doppelten Aliase, keine gleichen User-/Benutzernamen, man muss alle auf einmal Updaten und testen etc.)

Also: Ein Kunde/Projekt = eine Installation.

---

Das sehe ich genauso, daher verstehe ich ja die postulierten Sicherheitsbedenken nicht.

Leider versuche ich seit Anfang Februar heraus zu bekommen, wo die genannten Sicherheitsbedenken sind. Auf alle genannten Punkte hatte ich meine Sichtweise formuliert und Beispiele aufgeführt, dass es auch ohne Patch genauso ist.
Das echte Problem mit den Cookies habe ich gerne behoben. Wollte ja nur Zeigen, dass eine Vorschau für mehrere Domains doch zu gehen scheint.

Zitat:

---

Zitat von leo

Selbstverständlich ist das eine Sicherheitslücke

---

Dennoch wird einfach der Vorwurf im Juni wiederholt.

Zitat:

---

Zitat von leo

Vor allem bedeutet es eine Sicherheitslücke [..], daher wird von der Verwendung abgeraten!

---

Ich verweise ja auch nicht auf alte Hüte und sage: Deshalb ist Contao unsicher.

Fundamentalkritik ist recht schnell formuliert, wenn nachgefragt wird, bleibt man im Regen stehen.

Aber vielleicht bin ich auch der einzige, der gerne eine Vorschau hätte, in der ich nicht extra die Browsereinstellungen ändern muss um einen andere Sprache zu sehen, bzw. mich an mehreren Domains anmelden muss um die Änderungen zu sehen, die ich mit einer Anmeldung an mehreren Domains durchgeführt habe.

Egal, ich wurschtel trotzdem gerne mit Contao weiter, da ich vom Grundprinzip überzeugt bin. Solange muss ich wohl sagen: Kann ich nicht reproduzieren.

Zitat:

---

Zitat von weke

Anbei der Patch für die TL-Version 2.8.3.

---

sorry - bin ich zu blöd zum Suchen? ich sehe hier nix zum Download...


zonky