Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 10. Mai 2019 14:04

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.146
Webseite

Sicherheit der anderen CMSsen und Phar

Hallo,

ich frage mich ob das bei uns mit der 2er folgen hat, kann es mir nicht vorstellen.
Schließlich wird Phar doch nur bei der Installation genutzt oder irre ich mich?

https://arstechnica.com/information-tec … ple-cmses/

MfG
Jan


Ubuntu 16.04 mit KDE - Kubuntu 18.04 / win10 (1 duo-boot laptop)- LAMP

Offline

#2 10. Mai 2019 15:47

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.858
Webseite

Re: Sicherheit der anderen CMSsen und Phar

Phar wird nur für den Installer genutzt. Insofern dürfte CMSMS deshalb davon nicht betroffen sein.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#3 10. Mai 2019 15:48

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.256

Re: Sicherheit der anderen CMSsen und Phar

Soweit ich das verstanden habe, betrifft das CMSms nicht.
Denn es geht hier nicht allgemein um Phar sondern um eine PHP-Klasse eines 3.Anbieters (Typo3), mit der Phar-Dateien behandelt werden können (PharStreamWrapper). CMSms verwendet diese Klasse nicht. Der Installer handelt sich selbst. Es gibt also kein externes PHP-Script, welches für das Handling des Install-Phar-Archives zuständig ist. Man ruft das Phar-Archive ja direkt im Browser selber auf. Und dort drin bezieht sich alles auf das aktuell ausgeführte Archiv. Da kann meiner Meinung nach eigentlich keine dritte Person dazwischenfunken. Nach der Installation soll man das Archiv ja löschen, und dann war's das erstmal mit Phar.

Problematisch wird es vielleicht erst dann, wenn man bei den Modulen auch auf Phar umsteigt oder irgendeinen "Convenience-Mechanismus" einbaut, mit dem man vom Backend aus Systemupdates per Klick durchführen kann. Dann braucht man einen Wrapper, der diese Phar-Dateien ausführt.

Aber ich bin da kein Sicherheitsexperte.

EDIT: und ich schreib zu viel lol

Offline

#4 10. Mai 2019 16:18

Janl
Server-Pate
Ort: Freistadt, Österreich
Registriert: 13. Dezember 2010
Beiträge: 1.146
Webseite

Re: Sicherheit der anderen CMSsen und Phar

Schön, wieder bestätigt dass CMSMS ein sicheres System ist . . . . wenn richtig eingerichtet.

MfG


und NaN es ist angenehm wenn einer etwas mehr schreibt, wie bei Webseiten "reichhaltig" aber dann anders. smile


Ubuntu 16.04 mit KDE - Kubuntu 18.04 / win10 (1 duo-boot laptop)- LAMP

Offline