Admin-CP Sessionübernahme

1. offizieller Beitrag
    Zitat von jebo38

    Hallo, ich habe ein b1gMail 7.4.0 laufen. Nun habe ich an anderer Stelle mit der gleichen Domain auf dem gleichen Server die neue Variante 7.4.2-RC2 installiert.
    Soweit alles gut, läuft prima. Nun wollte ich aus dem alten und nicht mehr so gut laufenden System die Adressen "bm60_adressen" exportieren und ins neue importieren.
    Das funktionierte auch prima per phpMyAdmin. Alle Adressen sind im phpMyAdmin zu sehen, aber nicht im Admin Backup.
    Was mache ich falsch.
    Alles andere wie z.B. bm60_attachments , bm60_diskfolders , bm60_adressen_gruppen , usw. sind im Backend zu sehen nur die Adressen nicht.

    LG Jens

    Wollte dir mitteilen dass ich VOLLZUGRIFF auf dein ADMIN Panel hab...
    Deine SID is noch aktiv, um es zu beweisen, hab ich die neu registrierung deaktiviert!

    Zitat von hchristo

    Wollte dir mitteilen dass ich VOLLZUGRIFF auf dein ADMIN Panel hab...
    Deine SID is noch aktiv, um es zu beweisen, hab ich die neu registrierung deaktiviert!

    Oha, vielen Dank für diesen wichtigen Hinweis. Bin immer davon ausgegangen, dass auch im Adminpanel mindestens eine Cookie-Sperre aktiv ist (oder war sie deaktiviert?).

    Bitte achtet also, dass ihr keine Links mit sids kopiert.

    Zu der eigentlichen Frage: Wir empfehlen den Upgrade-Weg, anstatt manuell einzeln die Tabellen zu exportieren und zu importieren. Das verursacht nur unnötig Mehraufwand und ist zu fehleranfällig. Wenn man das Gefühl hat, die Datenbank ist kaputt, dann gibt es die Möglichkeit die Struktur zu reparieren.

    Zitat von Sebijk

    Darum werde ich mich mit der nächsten Veröffentlichung kümmern. Bis dahin empfehle ich zusätzlich eine HTTP BasicAuth Abfrage via Webserver (bei Apache mit .htaccess umsetzbar) im Adminbereich einzubauen.

    Betreibe einige Eigenentwicklungen und da prüfe ich beim Login immer ob es von der IP bereits ein Login gab und falls nicht informiere ich die Admin E-Mail-Adresse darüber, wäre eine nette Zusatz Funktion bei der man wenigstens informiert wird wenn doch ein Login stattgefunden hat von einer IP die man nicht kennt (wäre evtl. auch etwas für den LI bereich). Weiter müsste man weg von den SIDs kommen die immer in der URL auftauchen, gibt da elegantere varianten und immer mit dem Backend gegenprüfen anhand einer id / public ip etc... ob der User immer noch der User ist der sich Angemeldet hat.

    Zitat von ManDal

    Betreibe einige Eigenentwicklungen und da prüfe ich beim Login immer ob es von der IP bereits ein Login gab und falls nicht informiere ich die Admin E-Mail-Adresse darüber, wäre eine nette Zusatz Funktion bei der man wenigstens informiert wird wenn doch ein Login stattgefunden hat von einer IP die man nicht kennt (wäre evtl. auch etwas für den LI bereich). Weiter müsste man weg von den SIDs kommen die immer in der URL auftauchen, gibt da elegantere varianten und immer mit dem Backend gegenprüfen anhand einer id / public ip etc... ob der User immer noch der User ist der sich Angemeldet hat.

    An so etwas arbeite ich auch allerdings ist das mit IP schwierig, da braucht man viele Daten und die IP ändern sich ständig, man könnte das nach Netz machen aber das wars dann schon. Geräte-Fingerprinting und Cookie-Sessions ist so mein Ansatz auch nochmal eine Überprüfung über 2FA oder Mailbestätigung machen wenns abweicht

    • Offizieller Beitrag

    Ich hab die Beiträge in ein neues Thema verschoben, um die Übersicht zu behalten.

    Ich hab ein bisschen rumgetestet. Meine bisherigen Erkentnisse:

    Admin-CP im Browser geöffnet und URL anschließend im privaten Modus kopiert: Sessionübernahme möglich
    Admin-CP im Browser geöffnet und URL anschließend im anderen Browser geöffnet: Sessionübernahme nicht möglich
    Admin-CP im Browser geöffnet und User-Agent im selben Browser gewechselt: Sessionübernahme nicht möglich

    Die Session-Cookie-Sperre bezieht sich tatsächlich nur auf den E-Mail-Login und die funktioniert so, wie es sein soll.

    Der Schutz im Admin-CP ist nach meinen Erkentnissen also nur durch den User-Agent geschützt, der in dem Fall von hchristo umgangen werden konnte, da jebo38 als auch hchristo denselben User-Agent haben.

    • Offizieller Beitrag

    Die entsprechende Stelle habe ich gefunden. In der nächsten RC wird zusätzlich ein cookie mit einem randominisierten Inhalt gesetzt, die nur der entsprechende client und Server kennt. Die Folge ist halt, dass man sich als Admin nicht mehr cookielos anmelden kann, aber hey als admin kann man ja erwarten entsprechende Sicherheitsvorkehrungen zu treffen.

    Gleichzeitig habe ich bei den Adminkonten auf PHP password umgestellt, die ebenfalls mit der nächsten RC Version kommt . Für user ist diese Umstellung erst ab 7.5 vorgesehen.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden