Ich habe es glaube ich schon irgendwo gelesen, finde es aber nicht wieder.
Sicherheit gibt es nicht mehr!?
Ich habe es gestern Abend auch gesucht! Wo ist es?
1 „Gefällt mir“
Das Widget war ursprünglich dafür da, vor WebFronts mit aktivem Editor oder ohne Passwort zu warnen. Der aktive Editor ist dann ja aber rausgeflogen und das ganze läuft ja mittlerweile über Token aus der Instanzkonfiguration. Damit sind WebFronts mit aktivem Editor kein Sicherheitsrisiko. Und mittlerweile sind WebFronts ohne Passwort standardmäßig nicht mehr aus der Ferne erreichbar, wodurch auch dieser Punkt nicht mehr sicherheitsproblematisch ist. Wir haben also alle Punkte vor denen das Sicherheitswidget gewarnt hat behoben. Damit gab es keinen Grund mehr das Widget zu behalten und es ist rausgeflogen.
2 „Gefällt mir“
gab es diesbezüglich aber nicht Diskussionen über einen „User-Ordner“, welcher über das Sicherheitswidget gemeldet wurde, wenn kein Passwort gesetzt worden ist?
Ich meine mich dunkel an so eine Diskussion zu erinnern - finde aber den passenden Link dazu nicht mehr. Ging glaub um Graphen?!
Das hat das Widget eben nicht gemeldet, darum sind wir auf das Widget gekommen.
Michael
…in der Diskussion geht es eigentlich um die HighCharts - das Problem mit dem App-Zugriff auf den user-Ordner mit Passwort-Schutz ist noch nicht gelöst…
Es gab in dem Thread die Vermutung von @bumaas dass viele kein Passwort für den user-Ordner gesetzt haben und damit der Inhalt des Ordners über Connect frei zugänglich ist. Ich persönlich würde mir wünschen, wenn das Widget zurückkommt und alle Punkte aus der Sicherheits-Doku prüft/anzeigt.
Die Konsole kann leider rein technisch nicht prüfen, ob etwas im user-Ordner ist. Es ist ja kein Problem den Ordner ungeschützt zu lassen, wenn man nichts reinpackt. Das ist sicherlich auch der übliche Fall.
Die anderen Punkte von der Sicherheits-Doku führen eigentlich nur aus, warum die entsprechenden Kanäle sicher sind. Da wüsste ich nicht, was ein Sicherheits-Widget prüfen sollte. Führe aber gerne aus, was für Checks du dir wünschen würdest.
1 „Gefällt mir“
Für ein Sicherheitswidget stelle ich mir in etwa folgendes vor (mehrstufig/Ampel) @Dr.Niels:
Fehler:
- VISUALISIERUNG illegaler Zugriff = Passworteingabe verlangsamt bei häufigen Zugriff (über Connect)
Warnung:
-
USER ORDNER ohne User/Passwort-Schutz (und Connect) „alle Inhalte von extern erreichbar“
-
VISUALISIERUNG X explizit Zugriff ohne Passwort konfiguriert (und Connect) „Visualisierung X von extern ohne Passwort erreichbar“
-
Schwaches Passwort bei USER Ordner/Visualisierung X (s.u.)
Hinweis:
- VISUALISIERUNG X von außerhalb mit Passwort erreichbar (OK/grün)
- FERNZUGRIFF aktiviert/von außerhalb mit Passwort erreichbar (OK/grün)
Ergänzend wäre eine Prüfung auf ein schwaches Passwort direkt bei Eingabe zu prüfen sinnvoll (Fernzugriff, Visualisierung).
Anmerkung: Bei mir prüfe ich die Datei access.log regelmäßig auf ungültige Zugriffe (unbekannte externe IPs, die man aber erst einmal von den eigenen unterscheiden muss). Wäre zwar schön, wenn man so etwas in dem Widget hätte, aber das ist m.E. schwer zu verallgemeinern (Filter-Regeln…) Die Webhooks sind ja auch ein mögliches Einfallstor (wenn ohne Zugangsprüfung), aber auch da könnte man eigentlich nur auf die Anzahl der Webhooks verweisen oder wiederum detailliert in der accesss.log nach IPs filtern.
Bei SYMOS kenn ich mich zu wenig aus. Vielleicht gibt es ja noch mehr Mitstreiter, die die Idee ergänzen wollen…
JM2C