filetypes.xml probleem...

Alex, wo mei 04 2016, 02:17P.M.

In /e107_admin/prefs.php#nav-core-prefs-uploads vind je de volgende tekst:

** Uit beveiligingsoverwegingen mogen deze waarden alleen handmatig worden gewijzigd in het volgende bestand: e107_system/edfa25437f/filetypes.xml

Nu wanneer je e107 hebt geinstalleerd op een normale shared server onder unix / linux heeft alles in de door e107 aangemaakte map, de server als eigenaar, dit heeft zowel voor- als nadelen, nadeel is dat je niet zomaar even met ftp het bestand filetypes.xml kan downloaden en wijzigen... die rechten liggen namelijk anders.. Voordeel is dat wanneer ik het niet kan... niemand het kan smile

ppt. staat niet in het lijstje... en nu?

Vooraanzicht voor een preview is ook niet geheel duidelijk..

Re: filetypes.xml probleem...
, wo mei 04 2016, 03:52P.M.

Dan zou de gebruiker van dat systeem dit toch kunnen aanpassen in/middels cPanel enz.. (bestandenbeheer). FTP is niet altijd nodig..
Re: filetypes.xml probleem...
Alex, wo mei 04 2016, 05:09P.M.

Klopt maar echt gebruikersvriendelijk is het niet op deze manier... ik denk dat hier niet zo goed over nagedacht is..
Re: filetypes.xml probleem...
, za mei 07 2016, 09:01P.M.

Heb een enhancement issue geplaatst wink
Re: filetypes.xml probleem...
Tijn, ma mei 09 2016, 11:13A.M.

Normaal gesproken, onder het gros van de server configuraties, kan je via FTP gewoon alle bestanden wijzigen. Wanneer dit niet kan vanwege conflicten met de CHMOD rechten dan is de server nog volgens de 'best practices' geconfigureerd.

Op het moment dat die optie een admin optie wordt, dan wordt het wel heel makkelijk om 'malware' te uploaden via de admin area (en dat is slechts een kwestie van een gelekt wachtwoord).
Re: filetypes.xml probleem...
, ma mei 09 2016, 02:20P.M.

Dat is correct @Moc; ik heb weliswaar een Enhancement geplaatst, maar ik heb het er niet bij geplaatst.. (beveiligingsrisico). Ik laat de verantwoording voor een DENIED bij de developer liggen (dan is het onderbouwd).

Je moet eigenlijk de wens kenbaar maken (voor ideëndoel, maar je weet (in het hoofd) dat het eigenlijk foute boel is (imo)...
Re: filetypes.xml probleem...
Tijn, ma mei 09 2016, 07:00P.M.

Uiteindelijk ligt de beslissing bij Cameron maar ik vind het risico te groot, en ik denk dat hij te daarmee eens is. Maar goed, we gaat het nog eens overwegen, misschien dat het e.e.a. simpeler gemaakt kan worden.
Re: filetypes.xml probleem...
Alex, di mei 10 2016, 08:31A.M.

Hoi Moc, daar gaat het ook om, desnoods tijdens de configuratie / installatie aan laten geven welke je zou willen... Daarnaast denk ik dat als je database gegevens zijn gelekt je sowieso een probleem hebt dus deze string zou gewoon in de database moeten staan? En een normale serverconfiguratie geeft dit probleem, en dan zou je dit niet tegen moeten (willen) komen...
Re: filetypes.xml probleem...
Tijn, wo mei 11 2016, 12:30P.M.

Ik heb het niet over de database gegevens maar een een simple admin login.

Als je via de admin area de filetypes extensies kan wijzigen, dan zorgt dit voor een relatief groot beveiligingsprobleem omdat het wachtwoord van een admin account makkelijker 'gekraakt' wordt (omdat deze bijvoorbeeld door de gebruiker op meerdere websites wordt gebruikt) ten opzichte van een FTP of MySQL wachtwoord (wat in principe een willekeurig en complex wachtwoord moet zijn wat nergens anders wordt gebruikt). Het is dan heel simpel om malware via de admin area te uploaden.

Als je alleen via FTP de filetypes kan wijzigen (wat met een 'goed' geconfigureerde server gewoon moet werken) dan is dit vele malen veiliger.

Maar goed, de discussie staat op Github dus er zal in de loop van de tijd naar gekeken worden.