Login Unsicher [GELÖST]

[turbopixel]

Hallo,
seit gestern habe ich KeyHelp installiert. Das ist ein wirklich tolles Webhosting Panel, besser als Froxlor und co!

Mir ist gerade zufällig aufgefallen, dass die Login Sicherheit im Panel unzureichend ist. Ich habe meine kompletten Browserdaten gesäubert und war trotzdem noch eingeloggt. Anscheinend wird nur über die URL geprüft, ob die "sid" in der Datenbank Tabelle existiert.

Im eingeloggten Zustand habe ich folgende URL: ../index.php?page=admin_index&sid=q7o8k576vbo27ljv9r5mAb5403
Kopiere ich mir die URL und rufe die Seite im Browser Inkognito Modus auf, bin ich weiterhin eingeloggt.

Das kann ganz schön nach hinten los gehen, wenn mal jemand seine Panel URL ausversehen weitergibt..

Viele Grüße
turbopixel

[Tobi]

Ich kann das Verhalten bestätigen und finde es auch nicht schön.

Was spricht dagegen zusätzlich einen Cookie zu setzen oder zumindest die Browserkennung in der SID zu verwurschteln?

Bitte ändert das.

[Alexander]

Danke für den Hinweis. Ich schaue es mir am Montag gleich mal an.
Eigentlich sollte die Session auf die IP beschränkt bleiben.... sollte sich schnell beheben lassen.

[Tobi]

Ach so.
Gut, eine IP Beschränkung habe ich nicht ausprobiert.

Ich werde mal die Fritz! Box neu starten.

[Tobi]

O.K.

IP Beschränkung funktioniert.
Daher halb so wild.

Sorry fürs Aufschrecken!

[Jolinar]

IP Beschränkung funktioniert.
Daher halb so wild.

Naja...Wenn größere lokale Netze hinter einer öffentlichen IP hängen (z.B. Firmennetzwerke oder öffentliche WLAN-Netze), dann ist hier schon das Risiko von Session-Hijacking oder auch Session-Fixation gegeben.
Aber da die KH-Dev's ja nach Perfektion streben, wird es hier sicher noch Verbesserungen geben.

[b0snaX]

Naja...Wenn größere lokale Netze hinter einer öffentlichen IP hängen (z.B. Firmennetzwerke oder öffentliche WLAN-Netze), dann ist hier schon das Risiko von Session-Hijacking oder auch Session-Fixation gegeben.
Aber da die KH-Dev's ja nach Perfektion streben, wird es hier sicher noch Verbesserungen geben.

Nun aber von Öffentlichen Wlan Netzen sollte man allgemein abstand nehemen bei wichtigen sachen wie Kunden Server, Online Banking, Shopping etc. Auch wüsste ich keinen grund warum man die URL von seinem KeyHelp weitergeben sollte sodass jemand mit der Session ID direkt eingeloggt ist. Für gewöhnlich gibt man ja die URL höchstens bis zum .tld weiter das danach ist ja sowieso nicht von bedeutung gerade bei KeyHelp.

Aber ich gebe dir Recht die KH dev's werden das sicher nachbessern.

[Jolinar]

Nun aber von Öffentlichen Wlan Netzen sollte man allgemein abstand nehemen bei wichtigen sachen wie Kunden Server, Online Banking, Shopping etc.

Das mag für dich, für mich und für einige andere Leute stimmen...Aber als Serveradmin mußt du in dem Punkt einfach paranoid sein und du mußt grundsätzlich davon ausgehen, daß du es mit DAU's zu tun hast.
Klassisches Argument, welches ich schon mehr als einmal zu hören bekommen habe: "Ich logge mich lieber über einen öffentlichen Hotspot ein und kann so mein mobiles Highspeedvolumen für 'wichtigere Sachen' aufsparen...

Auch wüsste ich keinen grund warum man die URL von seinem KeyHelp weitergeben sollte sodass jemand mit der Session ID direkt eingeloggt ist.

Ganz einfacher Grund: Dummheit (oder fehlendes Verständnis für die Materie)...Da wird eben einfach ein Rechtsklick in die Adreßleiste gemacht, dann Copy und Paste...Und schon geben die Leute komplette URL's inklusive Session-ID weiter

[b0snaX]

Ja, so gesehen Jolinar hast du natürlich auch recht es gibt leider auch viele unwissende die die Sache nicht so ganz ernst nehmen.

[turbopixel]

Freut mich zu hören das ihr euch das Thema anseht

[..] wüsste ich keinen grund warum man die URL von seinem KeyHelp weitergeben sollte

Es gibt immer Pappnasen die es doch machen, weil sie einem Bekannten oder Partner den Link zu KeyHelp schicken. Leider..

Session auf die IP beschränkt bleiben

Das ist immerhin besser als keine Prüfung

[Tobi]

Ach ja...

Vielleicht habe ich auch nur etwas übersehen.
Aber wo kann ich den Admin umbenennen?

Meiner Meinung nach besteht die Sicherheit beim Login unter anderem auch darin, daß man Benutzername und Passwort wissen muss um sich anzumelden, deswegen poste ich hier

[Jolinar]

Vielleicht habe ich auch nur etwas übersehen.
Aber wo kann ich den Admin umbenennen?

Das geht (im Moment) nur über einen kleinen Umweg:
In der Benutzerverwaltung einen neuen Admin hinzufügen, diesen als Hauptadministrator setzen. Ausloggen, mit dem neu angelegten Admin einloggen und dann den originalen keyadmin löschen.

[Tobi]

Ah!

Danke.

So werde ich das machen.

[Tobi]

Hat wunderbar funktioniert.

Danke nochmals.

[Jolinar]

Hat wunderbar funktioniert.

Danke nochmals.

Immer gerne. Freut mich ja, wenn's funktioniert und ich so helfen konnte.