Seite 1 von 3 1 2 3 LetzteLetzte
Ergebnis 1 bis 15 von 41
  1. #1
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    admin.df.eu // AuthName für phpMyAdmin

    Hallo,

    nun mein dritter Wunsch für heute

    Nutzt man phpMyAdmin unter admin.df.eu scheint es mir so, als ob für alle Aufträge der selbe AuthName genutzt wird. Es ist, wenn man mehrere DF-Kunden betreut, nicht möglich dass sich die Browser den phpMyAdmin-Zugang merken. Selbst innerhalb meines Kundenkontos muss ich die Zugangsdaten immer neu eingeben, weil sich der Browser die Daten mal igrnedwann von irgendeinem Auftrag gemerkt hat.

    Schön wäre es, wenn der AuthName (oder anhand welchem Kriterium der Browser die Zugänge speichert) abhängig gemacht würden von dem Auftrag in dem man sich befindet.

    (Bitte jetzt keine Diskussion darüber dass man Zugänge nicht im Browser speichert; das wäre ein anderes Thema )

  2. #2
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    44.040

    AW: admin.df.eu // AuthName für phpMyAdmin

    Hallo wecotec,

    da wir keine Zugangsdaten mehr zu den MySQL-Datenbanken haben, weil diese nur noch verschlüsselt gespeichert werden, haben wir da die Technik ändern müssen. Da ssollte jetzt abe rkeine besonderen Auswirkungen auf Sie haben in den geschilderten Fällen

    Allerdings kann ich Ihnen nicht ganz folgen. Zur Anmeldung ist die Auftragsnummer und das Kundenmenüpasswort erforderlich. Das sollte auch im Browser gespeichert werden, wenn Sie die gleiche Domain für den Zugriff verwenden (Linkliste anlegen). Zertifikatsfehler, wenn kein SSL-Zertifikat im Auftrag vorhanden ist. sollten verschmerzbar sein. Bei Zugriff über sslsites.de könnte in dem Sinne schwierig und unübersichtlich von den Zugangsdaten her sein, das ist richtig, aber nicht direkt vermeidbar. Hier müsste man dann einen Passwortmanager nutzen.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  3. #3
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Wenn ich mich in Auftrag 1 über admin.df.eu in phpMyAdmin einlogge ist das alles soweit okay. Auftragsnummer und Kennwort eingegeben, aus Bequemlichkeit im Browser gespeichert und gut ist.

    Wenn ich dann aber Auftrag2 aufrufe werden beim phpmyadmin die Daten von A1 vom Browser eingetragen. Ich kann also nicht für mehrere Aufträge die Zugänge im Browser abspeichern.

    Im Chrome oder FF (ich bin noch zu Hause und kann es nicht prüfen) ist es sogar so, dass der Browser, sobald die Zugangsdaten abgespeichert sind, den Eingabedialog für die Zugangsdaten nicht anzeigt. Das endet dann in einem Fehler und ich komme mit dem Browser gar nicht mehr ins phpMyAdmin von Auftrag2.

    Ich vermute dass bei der Kennwortabfrage in allen Auftragen der "basic realm" im HTTP-Header identisch ist, das müsste auftragsspsezifisch geändert werden um diesen Fehler zu beheben.

  4. #4
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    44.040

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von wecotec Beitrag anzeigen
    Wenn ich mich in Auftrag 1 über admin.df.eu in phpMyAdmin einlogge ist das alles soweit okay. Auftragsnummer und Kennwort eingegeben, aus Bequemlichkeit im Browser gespeichert und gut ist.

    Wenn ich dann aber Auftrag2 aufrufe werden beim phpmyadmin die Daten von A1 vom Browser eingetragen. Ich kann also nicht für mehrere Aufträge die Zugänge im Browser abspeichern.
    Was für URLs nutzen Sie denn da für den Zugriff? Das kann ja eigentlich nur passieren, wenn Sie sslsites.de nutzen und dann siehe mein Posting vorab. admin.df.eu ist kein Bestandteil der URL für den Zugriff auf phpMyAdmin, da das jeweils auf den Webservern läuft.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  5. #5
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Was für URLs nutzen Sie denn da für den Zugriff?
    diejenigen, die unter admin.df.eu angeboten werden, also in der Tat sslsites.de

    Das ganze ist, wie gesagt, sehr nervig wenn man mehrere Kunden bei Ihnen betreut. Ob es da eine Lösung für geben kann weiss ich nicht....aber es wäre für Agenturen von Vorteil die Ihnen die Kunden halten

  6. #6
    Forenexperte (Kunde) Avatar von mar-e
    Registriert seit
    07.08.2003
    Beiträge
    10.715

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von wecotec Beitrag anzeigen
    diejenigen, die unter admin.df.eu angeboten werden, also in der Tat sslsites.de
    Logindaten gelten immer für das Tuppel ((Sub)Domain,Realm). ("Realm" ist das, was du "Authname" nennst)
    Das Problem entsteht hier, weil DF hier aus Bequemlichkeit immer die selbe Domain (sslsites.de) nimmt, obwohl das regelwidrig ist.

    Damit verursacht DF nicht nur die Probleme, die du schilderst, sondern auch eine Sicherheitslücke (jeder, der eine Website hinter sslsites.de platzieren und deinen Browser dazu bringen kann, von dieser eine Datei zu laden, bekommt vom Browser die Logindaten frei Haus).

    Die korrekte Lösung ist also, dass DF auf die Verwendung von sllsites.de verzichtet (Inklusivzertifkat oder Let's Encrypt nutzen) oder sslsites.de mit Subdomains (domain.sslsites.de) implementiert. Das Problem ist DF auch schon seit vielen Jahren bekannt.
    Geändert von mar-e (08.02.2018 um 13:30 Uhr)
    In der freiheitlichen Demokratie des Grundgesetzes haben Grundrechte einen hohen Rang. Der hoheitliche Eingriff in ein Grundrecht bedarf der Rechtfertigung, nicht aber benötigt die Ausübung des Grundrechts eine Rechtfertigung. (Bundesverfassungsgericht,2007)

  7. #7
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Von der Seite habe ich es noch garnicht betrachtet.......erstmal Danke für Deine Ausführung.

    Was gedenkt DF in dieser Angelegenheit zu tun?

  8. #8
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Gerade mal ausprobiert....es ist tatsächlich machbar wenn User "mal eben" auf OK klicken wenn ein Passwortdialog erscheint.....im Endeffekt ein unsichtbares IFrame auf eine Webseite platzieren, welches auf sslsites.de läuft und fertig. Wir könnten ja mal prüfen wie viele DF-Kunden darauf reinfallen
    Geändert von wecotec (08.02.2018 um 13:59 Uhr)

  9. #9
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    44.040

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von mar-e Beitrag anzeigen
    Logindaten gelten immer für das Tuppel ((Sub)Domain,Realm). ("Realm" ist das, was du "Authname" nennst)
    Das Problem entsteht hier, weil DF hier aus Bequemlichkeit immer die selbe Domain (sslsites.de) nimmt, obwohl das regelwidrig ist.
    Wir zeigen hier durchaus auch eine URL mit eigenen Domains an. Ich kann allerdings nicht direkt sagen, welcher Regel das gehorcht , erfrage das aber einmal. Beim Auftrag von wecotec ist das z. B. im Auftrag mit der gleichlautenden Domain der Fall. Es geht da also nicht um unsere Bequemlichkeit, sondern um den Zugriff auf phpMyAdmin via SSL und ohne Zertifikatsmeldungen.

    Damit verursacht DF nicht nur die Probleme, die du schilderst, sondern auch eine Sicherheitslücke (jeder, der eine Website hinter sslsites.de platzieren und deinen Browser dazu bringen kann, von dieser eine Datei zu laden, bekommt vom Browser die Logindaten frei Haus).
    Na ja, das Problem haben Sie aber dann auch mit jeder anderen Domain. Wenn in dem Sinne Zugriff auf den Browser besteht. Ich verstehe shcon Ihren Ansatz, aber das ist halt ein Nachteil eines Proxy, der so nicht umgangen werden kann.

    Die korrekte Lösung ist also, dass DF auf die Verwendung von sllsites.de verzichtet (Inklusivzertifkat oder Let's Encrypt nutzen) oder sslsites.de mit Subdomains (domain.sslsites.de) implementiert. Das Problem ist DF auch schon seit vielen Jahren bekannt.
    Jeder kann da natürlich auch eine eigenen Domain nutzen ob mit oder ohne Zertifikat. Das verbieten wir nicht und habe ich oben auch bereits vorgeschlagen da eine Linkliste anzulegen, wo man pro Auftrag einen Eintrag macht. Alternativ klappt das natürlich auch mit jeder Domain, sofern diese auf den Webserver zeigt. Zertifikat bei der Domain ist natürlich in dem Sinne besser, aber ohne dieses rein von der Verschlüsselung auch kein Problem, es kommt halt die Zertifikatswarnung.

    Ein Problem sehen wir hier also nicht. Ggf. kann man den Link im Kundenmenü verbessern, wenn man über entsprechende Algorithmen die SSL-Zertifikate des Auftrags besser nutzt. Allerdings ist die Frage, ob viele Kunden jeweils über das Kundenmenü gehen und den Link unter MySQL-Datenbanken oder in den Auftragsinformationen dafür nutzen.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  10. #10
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Jeder kann da natürlich auch eine eigenen Domain nutzen ob mit oder ohne Zertifika
    Das Problem ist doch eher, dass ich jede Webseite (und auch phpMyAdmin) über
    erreiche. Wenn ich jetzt unter https://sslsites.de/domain.de/böse.php ein Script hinterlege, welches mit dem Realm von dem DF-phpMyAdmin ("SQL Administration") eine Kennwortabfrage auslöst erscheint der Kennwortdialog im Browser, der mit den entsprechenden Daten des Users, der die URL aufruft, ausgefüllt ist. Ein unbedachter Klick auf "OK" und das Script "böse.php" hat die Daten.

    Bei neueren Aufträge wird mySQL nicht mehr über sslsites.de aufgerufen, dort besteht das Problem nicht (dafür aber hat diese Lösung aber wieder andere Probleme)....aber selbst ich, der erst drei Jahre hier ist, hat noch "alte" Aufträge wo das so ist....

  11. #11
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    44.040

    AW: admin.df.eu // AuthName für phpMyAdmin

    Hallo wecotec,

    sslsites.de gibt es jetzt denke ich so 15 Jahre und kann mit allen alten wie neuen Domains genutzt werden.. Klar kann man theoretisch da was basteln. Der User muss wie immer aufpassen, aber das lässt sich generell nicht vermeiden. Fälle in der Richtung sind nicht bekannt.

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  12. #12
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Kann man den Zugriff auf Webspaces über "slsites.de" eigentlich deaktivieren? Je mehr ich drüber nachdenke desto mehr Missbrauchspotenzial fällt mir ein (z.B. eine unliebige, bei DF gehostete Seite, einfach via sslsites.de verlinken um die SEO damit kaputt zu machen (Doublecontent))
    Geändert von wecotec (09.02.2018 um 07:21 Uhr)

  13. #13
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Fälle in der Richtung sind nicht bekannt.
    Das Missbrauchspotenzial ist nicht unerheblich. Auf der einen Seite argumentiert DF mit Sicherheit (Stichwort Kennwortverschlüsselung) auf der anderen Seite argumentiert man "ist 15 Jahre gut gegangen". Ist man sich wenigstens bewusst dass sslsites.de ein Problem darstellen kann?
    Geändert von wecotec (09.02.2018 um 07:21 Uhr)

  14. #14
    Communityservice Avatar von Nils Dornblut
    Registriert seit
    15.10.2000
    Beiträge
    44.040

    AW: admin.df.eu // AuthName für phpMyAdmin

    Hallo wecotec,

    eine Deaktivierung ist nicht möglich und auch nicht effizient machbar.Ich denke nicht dass das SEO-technisch relevant ist. Fällt nach meiner Meinung unter Mythen und Sagen

    Mit freundlichen Grüßen

    Nils Dornblut
    Communityservice
    __________________
    Blog - Facebook - Twitter
    Communitybetreiber: domainfactory GmbH
    Impressum / Pflichtangaben

  15. #15
    Reseller Avatar von wecotec
    Registriert seit
    04.03.2014
    Beiträge
    2.621

    AW: admin.df.eu // AuthName für phpMyAdmin

    Zitat Zitat von Nils Dornblut Beitrag anzeigen
    Ich denke nicht dass das SEO-technisch relevant ist.
    Gut, da bin ich ja Ihrer Meinung dass SEO eine Pseudowissenschaft für sich ist

    Nur: Wie würde es beispieslweise DF gefallen wenn die Seite in Google auf Rang 2 plötzlich nicht mehr www.df.eu ist sondern sslsites.de/df.eu/ ? Ja, ich weiss dass das mit der HP von DF nicht geht und dass Rang 2 weit her geholt ist (die richtige interne Verlinkung wird eine hohe Platzierung verhindern)......aber es wäre möglich.

    Und es bleibt eine Sicherheitslücke, dass jede Seite über sslsites.de aufrufbar ist. Ein weiteres Szenario: ich schaffe es, dass ein User einen link zu
    sslsites.de/domain1.de/auth.php
    anklickt und sich sogar einloggt. Die Seite braucht keine HTTP-Authentifizierung.
    Beim nächsten mal lenke ich ihn aber auf
    sslsites.de/domain2.de/auth.php
    . Und schon habe ich Zugangsdaten, Cookies und ggf eine Session von domain1.de, egal was hinter domains2.de steht.

    Klar, der Fall ist konstruiert. Aber möglich. Vor allem weil sslsites.de leider von einigen als SSL-Ersatz gesehen wird, wobei wir hier in der LE-Diskussion landen.....

    [edit] Mir ist auch klar das wir hier nur theoretische Szenarien diskutieren. Das dachte sich aber auch Intel bei Spectre und Meltdown bis man sie eines besseren belehrt hat. Ich hoffe DF ist sich der Sache mit sslsites mehr als bewusst...
    Geändert von wecotec (09.02.2018 um 07:36 Uhr)

Seite 1 von 3 1 2 3 LetzteLetzte

Ähnliche Themen

  1. Logjam und admin.df.eu
    Von mar-e im Forum Datensicherheit und Privatsphäre
    Antworten: 5
    Letzter Beitrag: 21.05.2015, 20:24

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •