MetaModels Workshop in Berlin
Ergebnis 1 bis 7 von 7

Thema: Autobackup per Cronjob - wie Missbrauch verhindern?

  1. #1
    Contao-Nutzer Avatar von franky_m
    Registriert seit
    31.10.2014.
    Ort
    Zell a. Main
    Beiträge
    24

    Standard Autobackup per Cronjob - wie Missbrauch verhindern?

    Hi,

    ich hab die aktuelle contao-BackupDB (1.1.0) unter Contao 4.4.4 laufen und wollte, dass ein mal täglich ein Backup erstellt wird. Tolle Erweiterung übrigens - Danke dafür.

    Soweit erst mal kein Problem - also wie in der Doku beschrieben einen Cronjob erstellt, der http://www.meineDomain.tld/BackupDB/autobackup aufruft.

    Dieser Aufruf funktioniert allerdings von überall. D.h. wenn ich ahne, dass die BackupDB-Erweiterung irgendwo installiert ist, dann kann ich den Website-Betreiber mit Backups fluten.

    Gibt es hier schon einen Lösungsansatz, der dass verhindert? Eine Idee wäre, den Aufruf über die URL in der Erweiterung zu unterbinden und statt dessen einen Symfony-Consolen-Aufruf zu implementieren.

    Gruß
    Franky

  2. #2
    Contao-Urgestein Avatar von do_while
    Registriert seit
    15.06.2009.
    Ort
    Berlin | Deutschland
    Beiträge
    3.310
    Partner-ID
    1081
    User beschenken
    Wunschliste

    Standard

    Ein fremder Aufruf wäre zwar ärgerlich, der "Angreifer" gelangt aber nicht an die gesicherten Daten.
    Das war in BackupDB für Contao 3 auch so, hat also nichts mit Symfony oder Contao 4 zu tun.

    Zu Deinem Vorschlag:
    Ich kenne Symfony noch nicht besonders gut, aber ein Symfony-Consolen-Aufruf scheint mir (vom Namen her) nicht geeignet für ein automatisches Backup.


    Edit:
    Ich habe mir mal dazu ein Ticket erstellt: https://github.com/do-while/contao-BackupDB/issues/9
    Geändert von do_while (14.09.2017 um 11:39 Uhr)

  3. #3
    Contao-Urgestein Avatar von folkfreund
    Registriert seit
    09.04.2010.
    Ort
    Dortmund
    Beiträge
    1.705

    Standard

    Spontan fällt mir ein, dem Aufruf einen 'Passwort'-Parameter mit zu geben, ohne den nichts passiert. Im Cronjob könnte man den Parameter ja fest eintragen. Ist aber dann für Fremde nicht leicht zu erraten.
    www.folkfreun.de - Treffpunkt für Folkmusiker, Folktänzer, Veranstalter und alle Freunde von trad. Folkmusik

  4. #4
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.014
    User beschenken
    Wunschliste

    Standard

    Man könnte auch prüfen ob die aufgerufene IP dieselbe ist wie die des Servers (bei internem Cron).
    Oder ein Sicherheits Token was mit geschickt werden muss per GET , das per Konfig frei definierbar ist.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  5. #5
    Contao-Nutzer Avatar von franky_m
    Registriert seit
    31.10.2014.
    Ort
    Zell a. Main
    Beiträge
    24

    Standard

    Zitat Zitat von do_while Beitrag anzeigen
    Zu Deinem Vorschlag:
    Ich kenne Symfony noch nicht besonders gut, aber ein Symfony-Consolen-Aufruf scheint mir (vom Namen her) nicht geeignet für ein automatisches Backup.
    Edit:
    Ich habe mir mal dazu ein Ticket erstellt: https://github.com/do-while/contao-BackupDB/issues/9
    Wenn man Zugriff auf echte Cronjobs hat, dann wäre ein Consolen-Anruf evtl. besser als der Umweg über den URL-Aufruf. Die Console ist ja auf jeden Fall schon vorhanden "php vendor/bin/contao-console" - da könnte man sich mit drauf hängen. Wenn man allerdings ein Webpaket ohne echte Cronjobs hat - dann bleibt nur die URL-Variante.

    Also ein URL-Zugriff mit Token wäre auch ok.

  6. #6
    Contao-Urgestein Avatar von do_while
    Registriert seit
    15.06.2009.
    Ort
    Berlin | Deutschland
    Beiträge
    3.310
    Partner-ID
    1081
    User beschenken
    Wunschliste

    Standard

    Hallo Franky,

    die Aufruf-Kennung ist in Version 1.2.0 eingebaut.
    Doku dazu unter https://github.com/do-while/contao-B...tisches-backup

  7. #7
    Contao-Nutzer Avatar von franky_m
    Registriert seit
    31.10.2014.
    Ort
    Zell a. Main
    Beiträge
    24

    Daumen hoch

    Zitat Zitat von do_while Beitrag anzeigen
    Hallo Franky,

    die Aufruf-Kennung ist in Version 1.2.0 eingebaut.
    Doku dazu unter https://github.com/do-while/contao-B...tisches-backup
    Danke für die schnelle Reaktion!! Perfekt!!

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •