Sicherheitslücke/ Security Alert in FE-Edit

check this often to be informed about any security problem that was reported.
User avatar
kukki
Posts: 1710
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Sicherheitslücke/ Security Alert in FE-Edit

Post by kukki »

:arrow: Oliver leider nicht auf meinen Hinweis reagiert :| (Urlaub?) Auch ein anderes Mitglied habe ich zwecks Nachprüfung über die Sicherheitslücke bei FE-Edit hingewiesen. Wer mehr dazu wissen will, der möge sich bitte per PN an mich wenden und die von mir beschriebene Lücke testen, bestenfalls zu bestätigen.
Unter bestimmten Voraussetzungen werden die in phpwcms.php festgelegten Sicherheitsschranken umgangen. Bitte über PN weitere Infos anfordern.

:arrow: Oliver has unfortunately not responded to my safety warning. :| Another member I informed too. Since none responded, I would like to invite other members to test the vulnerability. Perhaps other members confirm my notice. The user rights (see phpwcms.php) can bypassed via FE-EDIT. ANY backend user with lesser privileges can edit, delete and/or save all website content parts. If you are interesting, please send me a message only via PN
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
Oliver Georgi
Site Admin
Posts: 9905
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by Oliver Georgi »

Was soll das?

Wenn Du es als Sicherheitsproblem siehst, mach bitte den Frontend Link aus. Es ist ein grundsätzliches „Fail-By-Design“. phpwcms bietet keinerlei Sicherheit in diesem Bereich. Jeder Link ins Backend hinein lässt sich aus den IDs ableiten. Zwar ließe sich das sicher etwas abmildern, indem im Frontend beim Generieren der Links noch gegen den Benutzer/Session geprüft wird. Allerdings ist mein Wille im Moment gering, hier noch was zu ändern. Das Problem besteht, seitdem es den Frontend Edit Link gibt — bisher ist es keinem aufgefallen, mit anderen Worten: ein eher marginales Problem.

Und Fehler gehören in die Issues, nicht hier hinein.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
kukki
Posts: 1710
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by kukki »

Wenn man auf eine PN nicht antwortet oder sich dafür nicht die Zeit nimmt, dann dürfte es nur recht und billig sein, wenigtens in dieser Art - immerhin noch anonym genug- sich bemerkbar zu machen ohne einen riesigen Aufschrei zu produzieren. :cry:

Ich kann und will Deine Argumentation auch nicht so richtig folgen
Das Problem besteht, seitdem es den Frontend Edit Link gibt — bisher ist es keinem aufgefallen, mit anderen Worten: ein eher marginales Problem.
Ich stufe das eher als ein bewußt in Kauf genommenes Sicherheitsleck ein :evil: . Mir ist es schon mal aufgefallen, allerdings habe ich dass kurzerhand nicht weiter verfolgt und es auf den Cache, bzw. die Nutzung von ein und dem selben Browser mit mehreren Tabs und meinen Adminrechten zugeordnet. Wenn allerdings ein Kunde als Redakteur darauf stößt und mir es zeigen kann, dann ist es eigentlich nur recht und billig, dass Du dieses Leck schließen würdest. Nur "es nicht zu verwenden" ist wohl etwas billg und eher gerdae man "oberstufeneif"

Den nachfolgenden Text habe ich mir lange überlegt: ... ob oder doch nicht .... ich mach meinen Ärger mal Luft!

Im Moment wäre es Beste, den ganzen Sch... hinzuschmeißen, denn man kommt sich vor wie bestellt und nicht abgeholt. Und da stehe ich nicht alleine da, wenn ich mir nur diejenigen ins Gedächtnis rufe, die Du nicht einmal versucht hast hier im Forum zu halten, deren Ideen und Initiativen hätten qualitativen Sprünge bewirken können.
Es gibt schon lange keine nachvollziehbaren Erläueterungen von Änderungen/ Upgrades - hat es das überhaupt schon mal :?: , Es wird einem häufig ein Upgrade vorgelegt, dass man kommentarlos nimmt oder auch nicht. Eine Kurz-Dok für Templateerstellung -ist gar nicht dran zu denken. Probieren ist der einzige steinige Weg und wenn dann was zum Laufen gebracht worden ist, heißt es von OGs Seite, das geht einfacher, ist umständlich - ohne aber einzulenken.
Die noch wenigen aktiven Nutzer [Seite 1-4(?) ] von den über 5300 Mitgliedern hier im Board zeigen, wie viele das Handtuch schmeissen. Es gab in der Vergangheit genügend Anfragen und Ansätze von Zusammenarbeit und Hilfe - die anscheinend zu 99% ignoriert wurden, irgendwo war da mal ein Zitat mit den vielen Köchen. :| Wenn Du die Zeit nicht dafür hast, dann lass Dir doch von Fachkräfte helfen, die sich bis herher bemüht und angeboten haben. Seit 2004 benutze ich das genial einfache und effektive System, aber jede solcher Antworten wie diese signalisieren Desinteresse/ Gleichgültigkeit etwas in Bewegung zu setzen und zu halten. Und es ist peinlich, wenn man sich mit phpWCMS an einer Ausschreibung beteiligt und im Vorfeld zu hören bekommt, es fehle an Dokuemntationen, es fehle an aktuellen Trends und es fehle an augenscheinlichen barrierearmen Lösungsansätzen, es muss zuviel drangebastelt werden u.s.w. und sofort. Ich bin mir sicher, dass ernsthafte Nutzer einen finanziellen Beitrag abschlägt, wenn man dafür ein tolles Forum, ein tollen System und Service bekommt.

Sag doch einfach, Du willst nicht mehr, Ehrlichkeit hat noch niemanden geschadet.
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
Oliver Georgi
Site Admin
Posts: 9905
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by Oliver Georgi »

Du fordest etwas in einem Ton, den ich an sich kommentarlos übergehe. Wir drehen uns im Kreis.

Es gibt sehr viele Nutzer von phpwcms, denen ich ohne Gewese helfe, sehr vielen kostenlos und gerne. Das sind in aller Regel die, die nicht im Forum unterwegs sind.

Richtig ist auch, dass im Forum nur noch ein harter Kern aktiv unterwegs ist. Deiner Lesart nach soll ich alle Infos liefern, schön erklärt, schön dokumentiert usw. — ach ja: natürlich absolut kostenfrei und zeitnah. Leider funktioniert das nicht! Es existiert nun mal kein Geschäftsmodell phpwcms, dass in irgendeiner Weise Rückflüsse generiert, die aus der Community kommen — und das dürfte inzwischen auf fast jedes Open Source Projekt zutreffen.

phpwcms existiert seit Jahren nur, weil es Anwender gibt, die Projekte realisieren und dies als ein Werkzeug ansehen. Wenn diese Nutzer Hilfe benötigen, bekommen sie diese auch, teils kostenfrei, regelmäßig aber bezahlt — oder wir realisieren Dinge gemeinsam, an denen wir partizipieren (müssen). Es gibt auch einige Nutzer, die pro Installation einen Betrag X an mich abgeben. Diesen bin ich sehr dankbar und verbunden.

Und um noch mal auf das Thema Zusammenarbeit zurückzukommen: Ja, es gab solche Versuche. Allerdings benötigt dies wirklich ein Gegenüber, das sehr selbstlos in eine Richtung denkt und arbeitet, ohne mich viel Zusatzarbeit zu kosten. Wo ist das Problem, anstatt Deinem Ärger ziemlich voreingenommen Luft zu machen, diesen kreativ in ein Handbuch mit Deinen wertvollen Erfahrungen fließen zu lassen. Ich bekomme aber nie Fragen, von jemandem, der genau das plant — und dann sozusagen mich als Fallback für einige Ratschläge etc. benötigt.

Es ist im Endeffekt alles viel komplizierter und trotzdem auf einen Nenner zu bringen: es kostet — Geld oder Zeit.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
kukki
Posts: 1710
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by kukki »

Ich forderte gar nichts, sondern versuche Dir rüberzubringen, dass die von Dir in Kauf genommene Sicherheitslücke peinlich werden kann, es ein unfertiges Produktdetail ist und ich Dich bitte, diese Lücke sinnvoll im Interesse für alle hier zu schließen.

Auch ich habe etliche Websites mit Deinem System realisiert und bin immer irgendwie zufrieden und dankbar gewesen ein für Benutzer genial einfach zu bedienendes Backend anzubieten, auch mit mehr oder weniger Abstrichen.
Weil aber nicht unwichtige Informationen zu Deinem System für viele fehlen und jeder ewig ausprobiert muss, um den Sinn zu begreifen - wenn überhaupt ... kostet das jeden von uns Zeit und Geld ....das hast Du richtig erkannt, Oliver. Für so etwas würden mich meine Modellbau-Kunden lynchen: es fehlt die Bauanleitung ... Abziehbilder - es fehlt ein Teil am Modell .... muss man von woanders her besorgen ....
Und genau da beißt sich die Katze in den Schwanz. Außer es finden sich User, die bereit sind zu helfen - die gab es auch. Da ich kein PHP-Freak bin betrifft es mich am Rande, aber so manche Idee, die ein Nicht-PHP-Programmierer mit einer langer Erfahrung im Handel besitzt, die einem bei der täglichen Arbeit kommen, sollten auch für andere hier als Lösungsansatz sein und könnte gemeinsam umgesetzt werden. Ich trage Eulen nach Athen, wie ich gerade bemerke! :mrgreen:
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
User avatar
update
Moderator
Posts: 6455
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by update »

Ich muss doch mal hier reingrätschen!
Deine Vergleiche hinken, kukki.
kukki wrote: ... kostet das jeden von uns Zeit und Geld ....das hast Du richtig erkannt, Oliver. Für so etwas würden mich meine Modellbau-Kunden lynchen: es fehlt die Bauanleitung ... Abziehbilder - es fehlt ein Teil am Modell .... muss man von woanders her besorgen ....
Das würde passen, falls Du für die Überlassung des Systems etwas von Dir gegeben hättest, so wie Deine Kunden etwas an Dich geben: Geld. Die Zeit hier im Forum gilt nicht, die wird für andere User hergegeben, weil man ja von denen auch was wiederbekommt. (ja, ich weiss, manche sind hier, die geben um Einiges mehr, als sie wiederbekommen - aber gibt man, um etwas zu bekommen?)
Sicher, ich habe mit Oliver auch meine Geschichte (Oliver, you know), aber gerade deshalb darf ich sagen: hier bleibe mal die Kirche im Dorf, bitte. Es gibt hier etwas für nichts.
Oliver hat ganz recht: Mach doch selber was, organisiere ein paar, die mitmachen, und viola!
Außerdem ist diese Diskussion hier ziemlich deplaziert!!! Sowas macht man einfach nicht hier ab, auch wenn der Hals zu platzen droht....
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
User avatar
Oliver Georgi
Site Admin
Posts: 9905
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by Oliver Georgi »

Einfach sachlich bleiben. Den Ansatz zum Abschalten der Problematik in einer Multi-Redakteurs-Installation habe ich weiter oben beschrieben. Das mag nicht sehr befriedigend sein, aber peinlich ist die Problematik nicht und ein Sicherheitsproblem als solches stellt es auch nicht dar, da wie erwähnt, das System eben in keiner Weise diesbezüglich rechtebezogen real abgesichert ist.

Und um noch mal den großen Bogen zu spannen: ich nenne es fordern, Du den Versuch, mir etwas „ rüberzubringen“. Du darfst gerne anregen, darauf aufmerksam machen, etwas in die Kritik stellen oder echte Lösungen anbieten. Eine Lösung wäre zum Beispiel — und zwar eine ganz selbstlose und dann mit hoher Priorität abarbeitbare — schlicht die von mir „in Kauf genommene Sicherheitslücke“ durch Beauftragung eines Programmierers schließen zu lassen, und diese Realisierung dann allen Nutzern kostenfrei zur Verfügung zu stellen.

Und falls sich jemand bemüßigt fühlt, die Problematik selbst nachvollziehen zu wollen: Das Problem tritt auf bei aktiviertem Frontend-Edit-Link in Verbindung mit Backendnutzern, die keine Admin-Rechte haben und über jeden Frontend-Edit-Link direkt auf den bezogenen Inhalt im Backend editierend gelangen können, auch wenn dieser Inhalt nicht durch diesen Redakteur verantwortet werden darf.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
Oliver Georgi
Site Admin
Posts: 9905
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by Oliver Georgi »

Problem sollte übrigens behoben sein: r507
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
pepe
Posts: 3954
Joined: Mon 19. Jan 2004, 13:46

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by pepe »

PRIMA... und DANKE :D
User avatar
update
Moderator
Posts: 6455
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by update »

kukki?
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
pepe
Posts: 3954
Joined: Mon 19. Jan 2004, 13:46

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by pepe »

Kukki wird doch nicht am Ende vollkommen entnervt das CMS gewechselt haben :evil: :evil: :evil:
.
.
.
Niiieeemaaals :D
pepe
Posts: 3954
Joined: Mon 19. Jan 2004, 13:46

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by pepe »

Habe aus größter Sorge um unseren "alten Kukki" mal eben versucht, mit ihm Kontakt aufzunehmen :(

Wegen all der Aufregung um die "Sicherheitslücke bei phpwcms" hat er eine spontane halbseitige phpwcms-Lähmung und ist momentan nahezu schreibunfähig :shock:

Er musste sich deshalb kurzfristig in fachmännische Behandlung begeben...
lässt aber auf diesem Wege "besten Dank" ausrichten und meldet sich, sobald er wieder ohne ärztliche Aufsicht an den PC darf!
Last edited by pepe on Mon 27. Aug 2012, 15:24, edited 1 time in total.
User avatar
update
Moderator
Posts: 6455
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by update »

:lol: :lol: :lol:
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
User avatar
G-Punkt
Posts: 166
Joined: Wed 28. Nov 2007, 16:31
Location: Stadt Creußen
Contact:

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by G-Punkt »

Echt schön zu sehen... eure gute Laune und euren Humor :D
--------------------------------------------------
Tschuldigung, wo finde ich die Suchfunktion?
User avatar
update
Moderator
Posts: 6455
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: Sicherheitslücke/ Security Alert in FE-Edit

Post by update »

Hey, wir tun, was wir können - ehe sie uns den Rollator wegnehmen und uns wegen aufrührerischen Verhaltens ruhigstellen ;)
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Post Reply