Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 10. Mai 2019 14:04
- Janl
- Server-Pate
- Ort: Freistadt, Österreich
- Registriert: 13. Dezember 2010
- Beiträge: 1.227
- Webseite
Sicherheit der anderen CMSsen und Phar
Hallo,
ich frage mich ob das bei uns mit der 2er folgen hat, kann es mir nicht vorstellen.
Schließlich wird Phar doch nur bei der Installation genutzt oder irre ich mich?
https://arstechnica.com/information-tec … ple-cmses/
MfG
Jan
Ubuntu 16.04 KDE - Kubuntu 18.04 / win10 (1 duo-boot laptop)- LAMP
Raspi 4b mit Ubuntu 20.04 (64bit) und Mate.
Offline
#2 10. Mai 2019 15:47
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.927
- Webseite
Re: Sicherheit der anderen CMSsen und Phar
Phar wird nur für den Installer genutzt. Insofern dürfte CMSMS deshalb davon nicht betroffen sein.
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
#3 10. Mai 2019 15:48
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.435
Re: Sicherheit der anderen CMSsen und Phar
Soweit ich das verstanden habe, betrifft das CMSms nicht.
Denn es geht hier nicht allgemein um Phar sondern um eine PHP-Klasse eines 3.Anbieters (Typo3), mit der Phar-Dateien behandelt werden können (PharStreamWrapper). CMSms verwendet diese Klasse nicht. Der Installer handelt sich selbst. Es gibt also kein externes PHP-Script, welches für das Handling des Install-Phar-Archives zuständig ist. Man ruft das Phar-Archive ja direkt im Browser selber auf. Und dort drin bezieht sich alles auf das aktuell ausgeführte Archiv. Da kann meiner Meinung nach eigentlich keine dritte Person dazwischenfunken. Nach der Installation soll man das Archiv ja löschen, und dann war's das erstmal mit Phar.
Problematisch wird es vielleicht erst dann, wenn man bei den Modulen auch auf Phar umsteigt oder irgendeinen "Convenience-Mechanismus" einbaut, mit dem man vom Backend aus Systemupdates per Klick durchführen kann. Dann braucht man einen Wrapper, der diese Phar-Dateien ausführt.
Aber ich bin da kein Sicherheitsexperte.
EDIT: und ich schreib zu viel
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#4 10. Mai 2019 16:18
- Janl
- Server-Pate
- Ort: Freistadt, Österreich
- Registriert: 13. Dezember 2010
- Beiträge: 1.227
- Webseite
Re: Sicherheit der anderen CMSsen und Phar
Schön, wieder bestätigt dass CMSMS ein sicheres System ist . . . . wenn richtig eingerichtet.
MfG
und NaN es ist angenehm wenn einer etwas mehr schreibt, wie bei Webseiten "reichhaltig" aber dann anders.
Ubuntu 16.04 KDE - Kubuntu 18.04 / win10 (1 duo-boot laptop)- LAMP
Raspi 4b mit Ubuntu 20.04 (64bit) und Mate.
Offline
Seiten: 1