phpwcms Support Forum

Hi Guys,

you will know, that every user (e.g. BE user with no admin rights) CAN ACCESS (change) the database unless there is no user rights management!

Das Teil ist ja soooo geil...
Bei solchen mods frage ich mich ernsthaft, warum das nicht standartmäßig dabei ist.
Eine echte Arbeitserleichterung: keine externen Lösungen mehr, keine FE-Lösung des Providers mehr...
Einfach nur ein Knopfdruck und die Datensicherung ist im "Kasten"! Genial!!!

Vielen Dank für diese ausserordentlich nützliche Teil...

Jensensen wrote:Hi Guys,

you will know, that every user (e.g. BE user with no admin rights) CAN ACCESS (change) the database unless there is no user rights management!

Vielleicht wäre eine einfache Lösung, das Modul erst durch ein Kennwort aktivieren zu müssen...
Dann könnte sich nicht jeder "beliebige" BE-User mal eben ein Backup runterziehen.... ?

Etwa so:

Konfiguration aufrufen
Password eingeben--- Weitere Einstellungen werden jetzt erst sichtbar und manipulierbar
Backup ziehen
Modul wieder deaktivieren --- konfiguraton zeigt nur noch die EIngabe für die Aktivierung

Ich moechte mit solchen Erweiterungen erst anfangen, wenn ich das Usermanagement sehe und nutzen kann. Warum sollte man so eine Zwischenloesung machen ? Wenn jemand Adminrechte und die BackendID hat, kann er sich eben ein Backup erstellen.

Ich moechte also erstmal abwarten, hier mit einer Loesung anzufangen.

Hi Pepe, hi alle zusammen,


steht ja schon in den Tickets und auch auf unser To-Do-Liste auf unserer Seite...

Bitte dieses Forum nicht missbrauchen. Nehmt zur Diskussion doch bitte unser eigenes mod_backup Forum her, nicht dass wir hier Ärger bekommen...

http://phpwcms.ktrion.de/projects/modbackup/boards

Danke im Voraus.

Joachim

Na, Ärger gibt's doch nur, wenn Du hier Zigarren oder Schuhe oder so anbietest - nicht jedoch bei so einem feinen Addon

jscholtysik wrote:Hi Pepe, hi alle zusammen,


steht ja schon in den Tickets und auch auf unser To-Do-Liste auf unserer Seite...

Bitte dieses Forum nicht missbrauchen. Nehmt zur Diskussion doch bitte unser eigenes mod_backup Forum her, nicht dass wir hier Ärger bekommen...

http://phpwcms.ktrion.de/projects/modbackup/boards

Danke im Voraus.

Joachim

ich kann eure seite komischerweise überhaupt nicht aufrufen.
bleibt alles weiss. macosx mit safari.

rush

lindesbs wrote:Wenn jemand Adminrechte und die BackendID hat, kann er sich eben ein Backup erstellen.

Hi Stefan,
dazu braucht es eben KEINE Adminrechte - BE-user reicht!! Und damit sind sämtliche PASSWÖRTER transparent, zum Server, zur DB, zu SMTP-Mail usw. Ich denke, pepe's Vorschlag ist doch nicht verkehrt. Andererseits kann man das Modul auch schnell wieder verschieben oder vom Server löschen.

rushclub wrote:...bleibt alles weiss. macosx mit safari.

keine probleme hier.

btw: was port 3000 hbci ?

Hi Rush,


ich habe gerade eben noch mal den Aufruf ausprobiert:

http://phpwcms.ktrion.de/projects/modbackup/boards

Windows XP + IE7: ok
Windows XP + FF3: ok

Ebenso hat Pepe gerade getestet:

MAC OS X + Safari: ok


Joachim

Hi Jens,


verstehe ich jetzt nicht ganz: In unserem Modul sind keine Zugangsdaten wie z.B. Passwörter transparent (nur conf.inc.php). Um darauf zuzugreifen, benötigst Du als User die FTP-Zugangsdaten. Du siehst in der Konfiguration nur den Namen der Datenbank, die E-mail-Adresse, an die das Dump-File geht, und die ID, sonst nix.


Bitte um Aufklärung.


Joachim

Hi Jo,

ok, transparent ist womöglich noch etwas anderes. Oben hatte ich aber bereits geschrieben, was passieren kann:

Ein Webredakteur
--> explizit NICHT ADMIN, sondern lediglich mit BE-Userrechten
--> bewusst OHNE FTP-ZUGANG zum Server
--> kann das Modul "bedienen"
--> eben die DB "saugen"
--> das Dump-file "unbemerkt" sofort im Anschluss wieder löschen (sonst könnte man ja per FTP sogar mal nachschauen, ob's einer unberechtigt erstellt hat -ggf. den usernamen in den filenamen integrieren)

--> UND DAMIT SÄMTLICHE INFO:
Name der DB
Passwort von anderen Usern (kann man ja auslesen/konvertieren)
SMTP-Mail Passwort vom --> WEBMASTER usw.

und könnte - böswillig genug - reichlich Schaden anrichten...

Oder möchtest Du, dass Dein Azubi DEINEN Mail-Account samt Passwort, am heimischen Rechner, bei sich einrichtet und DEINE MAILS empfängt?

[edit] war ein fehler - stimmt so nicht [/edit]

Hi Jens,

- im SQL-Dump wird kein Passwort gespeichert, da das ein reiner SQL-Dump ist direkt aus der Datenbank raus

[EDIT] Ah, jetzt verstehe ich: Du meinst die Passwörter direkt aus der phpwcms_user Tabelle, oder? [/EDIT]

- die SMTP-Daten werden aus der conf.inc.php geholt -> Zugriff nur über FTP -> Wer kennt die Zugangsdaten?
- woher hat z.B. der Azubi die FTP-Zugangsdaten?

Das sind alles Sachen, die ja mit unserem Modul in erster Linie nix zu tun haben. Auf eine etwaige Weitergabe von Zugangsdaten haben wir doch keinen Einfluss, oder?


Tut mir leid, aber verstehe ich immer noch nicht.


Joachim

Ich werd einfuegen, das NUR Benutzer mit dem ADMIN Flag das Modul nutzen koennen. Sollte den Anforderungen erstmal genuegen, solange keine richtige Userverwaltung da ist. So macht OG das auch.

Das find ich schon mal eine passable Lösung... für den Übergang bis OG die Rechteverwaltung einbaut!

Wer weiß, vielleicht ja schon MORGEN ?!

Und bis dahin wird phpwcms ja wohl sowieso mehr für Einzelkämpfer interessant sein und weniger für große Konzerne mit 100ten von BE-Usern ...

ADMIN Flag das Modul nutzen koennen. Sollte den Anforderungen erstmal genuegen, solange keine richtige Userverwaltung da ist. So macht OG das auch.

... genau

[einmisch]
Jetzt macht mal nicht so´n Wind hier. Das Modul steckt in den Kinderschuhen und wird langsam erwachsen, also eins nach dem anderen.
Es ist klasse dokumentiert und die Präsentation ist "erste Sahne".

Ich würde es im Moment aber noch nicht vorbehaltlos hier im Forum an unerfahrene User weiterempfehlen (wie schon passiert).
Wenn nicht klar ist, welche Datenmengen er zu bewältigen hat, wieviel Scriptlaufzeit verfügbar ist und ob der Plattenplatz reicht, dann wäre ich mit der Empfehlung im Moment noch vorsichtig.
[/einmisch]

Knut