Sicherheitsfrage .....

[Bonsai]

Wenn das page_parse_time.log angeschaltet ist, dann kann man das Log bei 95% der hoster ja einfach über den Browser aufrufen.
Da ein default für den Namen der Datei angegeben ist, und dieser default Wert jedem bekannt ist, kann ich mir also xbeliebige page_parse_time.log Dateien aufrufen, wenn der Shop sich im Footer als modified shop bekannt gibt.

Im Logfile wird die SessionID bei jedem Seitenzugriff niedergeschrieben ......

Wenn ich also einen Shop gefunden habe, bei dem das logging an ist, muss ich nur noch einen Anruf starten um den Shopadmin dazu zu bringen sich anzumelden und ....... 

War da nicht mal was mit Übernahme der Session wenn MODsid am per Facebook verteiltem Link hängt?

Sollte Modified nicht mal ein logdir bekommen, das auf GAR KEINEN FALL von der Öffentlichkeit lesbar ist?

Linkback: https://www.modified-shop.org/forum/index.php?topic=34101.0

[WayneTsun]

Bist Du Dir mit dieser Aussage sicher?

Wenn das page_parse_time.log angeschaltet ist, dann kann man das Log bei 95% der hoster ja einfach über den Browser aufrufen.
[...]

Auch bei gezielter Suche konnte ich jetzt eigentlich nur Deinen Shop finden, der das zulässt. Kann aber natürlich Zufall sein.

Beste Grüße,
Wayne

EDIT: Frage kannst Du vergessen. Sobald man in das .log schreiben lässt, kann die Datei auch abgerufen werden.

Wegen der Session: Die kann übernommen werden, wenn sie nicht geschlossen wurde, soweit ich das noch weiß.

[hpzeller]

Hallo Bonsai

Bingo, die Standardeinstellung des Shopsystems bezüglich des 'page_parse_time.log' birgt die Gefahr des Sessiondiebstahls.

Das Verzeichnis 'backups' ist geschützt, deshalb schlage ich dir folgendes vor.
Trage in der Administration unter Erweiterte Konfiguration -> Logging Optionen -> Speicherort der Logdatei folgendes ein

<Pfad zum Shoproot-Verzeichnis>/admin/backups/<Dateiname mit Erweiterung>
Beispiel: /var/www/virtual/meinshop/html/shop/admin/backups/page_parse_time.log

damit ist die Logdatei mit dem Browser nicht mehr aufrufbar.

Gruss
Hanspeter

[Bonsai]

Zum Vorschlag von hpzeller:

Dann müsste man aber auch im Ordner admin/backups einen Ordner admin/backups anlegen, da das logging für den Adminbereich standardmäßig nach /admin schreibt. Somit würde das logfile dann in /admin/backups/admin/backups landen

Ich halte die aktuelle Situation für gefährlich, da viele Shopbetreiber keine Ahnung von Security haben.

[hpzeller]

Nein man muss keinen neuen Ordner anlegen, alles wird in der unter Erweiterte Konfiguration -> Logging Optionen -> Speicherort der Logdatei eingetragenen Datei inklusive Pfad gespeichert.

Gruss
Hanspeter

[Bonsai]

Jo, und da es den Pfad nicht gibt, kommt jetzt bei JEDEM Aufruf irgendeiner Seite eine Fehlermeldung .....

Code: PHP  [Auswählen]

Warning: error_log(admin/backup/page_parse_time.log): failed to open stream: No such file or directory in /var/www/vhosts/kollateral-verlag.net/httpdocs/admin/includes/classes/logger.php on line 54 Parse Time: 0.137s

probier es mal aus!

Üblicherweise kommt die Meldung genau einmal, danach ist das Logfile angelegt. Ein Anlegen von Ordnern scheint nicht vorgesehen.

Es geht mir aber auch gar nicht darum wie man da jetzt einen Würgaround drum herum baut, sondern darum, dass die DEFAULT Einstellung derzeit sicherheitstechnisch grob fahrlässig ist.

Ich mach mal ein Ticket auf ....

[Bonsai]

https://trac.modified-shop.org/ticket/739

[hpzeller]

[...]
probier es mal aus!
[...]

habe ich natürlich gemacht, bei mir funktioniert es.

Du hattest aber bereits hier (Warning: error_log(): open_basedir restriction in effect.) ein Problem mit der 'page_parse_time.log' Datei. Kann sein, dass es einen Zusammenhang hat.

Gruss
Hanspeter

[Bonsai]

Nee, war ein anderer Shop. Da aber beide Shops extrem angepasst sind, kann ich einen Fehler nicht ausschließen. Und da beide auf der gleichen Maschine laufen, die den besagten Fehler plötzlich brachte .... es ist eventuell der Server der hier Mist baut.

[noRiddle (revilonetz)]

Krasse Sache das, gut erkannt, Bonsai.
Zum Glück ist sowohl STORE_PAGE_PARSE_TIME als auch STORE_DB_TRANSACTIONS per Default ausgeschaltet.

Danke auch an hpzeller für das Nachhaken und einen Workaround.

Gruß,
noRiddle