ilch Forum » Allgemein » HTML, PHP, SQL,... » Admin Bereich verlegen!!!!!!

Geschlossen
  1. Mi. 10.01.2007 19:57 Uhr #1
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Hoi immer wieder gibts Problems mit diversen "Neugierigen nicht autorisierten Usern"!! Hab mir gedacht das der Admin Bereich sepparat in einen Ordner angelegt werden sollte... da dieser bereich danach besser geschützt werden kann! Is des möglich?


    verwendete ilchClan Version: 1.1
    0 Mitglieder finden den Beitrag gut.
  2. Mi. 10.01.2007 20:45 Uhr #2
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    In den Adminbereich kommt man nur wenn man einen Account mit Passwort und die Berechtigung bzw. Modulrechte hat. Wozu also ein Extra Ordner?
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  3. Mi. 10.01.2007 21:12 Uhr #3
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    hm.. ist ja in nen speraten Unterverzeichniss... kanst ja mal testen ob du dort htaccess anwenden kanst...
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  4. Mi. 10.01.2007 22:27 Uhr #4
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Danke für die Antworten, 
    In den Adminbereich kommt man nur wenn man einen Account mit Passwort und die Berechtigung bzw. Modulrechte hat. Wozu also ein Extra Ordner?

    Weil es immer noch möglichkeiten gibt sich als Admin einzuklincken! Wenn du was hilfreiches weist dann teile es mir bitte mit... *freundlich* 

    hm.. ist ja in nen speraten Unterverzeichniss... kanst ja mal testen ob du dort htaccess anwenden kanst...

    Ja das mit dem HTACCESS klappt nicht hab ich schon probiert!
    Den Admin Ordner direckt verlegen klappt nicht 404 weis jemand nen guten schutz für den Admin bereich! Danke schonmals im voraus!


    Zuletzt modifiziert von Sapperlot am 12.01.2007 - 07:37:36
    0 Mitglieder finden den Beitrag gut.
  5. Mi. 10.01.2007 22:44 Uhr #5
    User Pic
    s_down Mitglied
    Registriert seit
    11.04.2005
    Beiträge
    1.194
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Sapperlot

    Danke für die Antworten, 
    In den Adminbereich kommt man nur wenn man einen Account mit Passwort und die Berechtigung bzw. Modulrechte hat. Wozu also ein Extra Ordner?

    Weil es immer noch möglichkeiten gibt sich als Admin einzuklincken wieder so ne überaus Interressante Weisheit, wozu glaubst du das ich diese Frage gestellt habe zum Spaß wohl nicht! Wenn du was hilfreiches weist dann teile es mir bitte mit... *freundlich*

    Aha und köntest du mir sagen wie das geht?
    Probleme mit dem installieren?
    externer Link
    0 Mitglieder finden den Beitrag gut.
  6. Do. 11.01.2007 00:21 Uhr #6
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Versuchs doch mal selber schütze mal deinen Admin bereich mittels htaccess gehen danach in deinen Admin bereich und gib mal dei mal falsche angaben ein oder drei mal auf abbrechen! Schon biste drinn!
    Dieser Fehler alleine Zeigt doch das da was nicht passt, he und ich bin von ilch clan begeistert und will hier nix negatieves schreiben verwende es ja auch selber, kann ja sein das ich da was entdeckt habe was Götter/Profis/Admins/Programier/Direktoren/Diktatoren:)/User oder was weis ich übersehen haben?
    Ich denke mal ich bin hier auch im Richtigen Forum is ja ned bös gmeind!


    Zuletzt modifiziert von Sapperlot am 11.01.2007 - 02:23:13
    0 Mitglieder finden den Beitrag gut.
  7. Do. 11.01.2007 00:31 Uhr #7
    User Pic
    thbreidenbach Mitglied
    Registriert seit
    05.05.2006
    Beiträge
    348
    Beitragswertungen
    0 Beitragspunkte
    Da hat jemand schon gaaaanz viele schlechte Bücher gelesen^^

    Weil es immer noch möglichkeiten gibt sich als Admin einzuklincken wieder so ne überaus Interressante Weisheit, wozu glaubst du das ich diese Frage gestellt habe zum Spaß wohl nicht!

    Ahaaa - sehr interessant^^ Krimistunde!

    Also, die phps werden auch bei direktem Zugriff auf das Verzeichnis weder als solche gesaugt, noch sonstwas - dafür sorgt dein Server! Bei Einwahl folgt die PW-Abfrage, die max. durch Brute-Force geknackt wird! Das dauert - So schön kann Deine Seite gar nicht sein^^ Und dazu - wie soll der denn nur mit Zugriff auf die Files - Zugang zur DB erhalten (Passwörter?!?!)? FTP zum Upload hat keiner ausser Dir! Also können auch dort keine Dateien eingespielt werden!

    Oder haste Deinen Server net gut aufgesetzt? zwinker

    Und neugierige nichtautorisiert Besucher haben nichts mit dem Adminbereich zu tun... Ich glaube Du verkennst die Problematik (wenns eine gibt)

    Gruss Breiti (und i.ü. Panic ist immer freundlich, ich glaube Du empfängst auf dem falschen Kanal, um es ganz *freundlich* auszudrücken)
    -->leider kein "ilcher" mehr...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  8. Do. 11.01.2007 02:37 Uhr #8
    User Pic
    Forumuser Mitglied
    Registriert seit
    06.02.2006
    Beiträge
    404
    Beitragswertungen
    0 Beitragspunkte
    ZitatZitat geschrieben von Sapperlot
    und gib mal dei mal falsche angaben ein oder drei mal auf abbrechen! Schon biste drinn!


    Interessant. Abbrechen. Wo gibt es denn sowas.

    Andere Frage
    Kann es sein das du die CMD Rechte aller Datein auf 777 gestellt hast? Kann es mir sonst nicht vorstellen. Sollte es denoch so sein, so würde es am sinnvollsten sein, sowas hier nicht zu schreiben, sondern direkt Manuel eine Mail oder PM zu senden. So wird dir bestimmt am besten geholfen.
    Bin ab sofort Aktiver 1.1 tester *grins* Aufgepasst: An alle Fehler verstecken sinnlos. Ich finde euch.
    0 Mitglieder finden den Beitrag gut.
  9. Do. 11.01.2007 13:55 Uhr #9
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Interessant. Abbrechen. Wo gibt es denn sowas.

    Na sicher nicht im Traumschiff!

    Ne du ich habe selber keinen Server ich binn doch blos ein Server Mieter und mein Hoster sagte das ich die Rechte setzten soll wie es in der Anleitung steht!
    Hat aber nun nichts mit dem Schutz zu tun!


    Zuletzt modifiziert von Sapperlot am 11.01.2007 - 14:08:59
    0 Mitglieder finden den Beitrag gut.
  10. Do. 11.01.2007 15:32 Uhr #10
    User Pic
    thbreidenbach Mitglied
    Registriert seit
    05.05.2006
    Beiträge
    348
    Beitragswertungen
    0 Beitragspunkte
    Sry, aber DU solltest keinen Server mieten, sodern max. Webspace... Du kennst Dich nicht selbst mit der Rechtevergabe aus - und machst das nach Anleitung?!?!

    Was Du da redest ist sachlich falsch, und würde nichtmal bei falscher Servereinstellung passen. Und vor ALLEM das hat NICHTS mit dem Script zu tun!

    Gruss (und gewöhn Dir ggfs. auch einen *Ton* an, wir sind hier ja nicht auf dem Traumschiff)
    -->leider kein "ilcher" mehr...
    externer Link
    0 Mitglieder finden den Beitrag gut.
  11. Do. 11.01.2007 16:03 Uhr #11
    User Pic
    SLJ Hall Of Fame
    Registriert seit
    18.05.2004
    Beiträge
    15.492
    Beitragswertungen
    3 Beitragspunkte
    Ich weiß zwar nicht wie HTACCESS aufgebaut ist oder man sowas erzeugt aber könnte es nicht sein das du irgend wie ne falsche hast oder sowas?
    externer Link
    Ilch 1.0.4 PHP 7.0 und PDO Fähig na klar lächeln
    0 Mitglieder finden den Beitrag gut.
  12. Do. 11.01.2007 16:31 Uhr #12
    User Pic
    Forumuser Mitglied
    Registriert seit
    06.02.2006
    Beiträge
    404
    Beitragswertungen
    0 Beitragspunkte
    Also bei mir im Skript gibt es beim Enlogen kein Abbrechen. Daher kann ich dein Fehler nicht nachvolziehen.

    Ich werde mal versuchen die Fehler nachzubauen. Werde das Skript mal auf mein server installieren und recht 777 geben Wobei ich mir nicht vorstellen kann, das man so ins Adminmenü ohne daten kommt.

    Kann es sonst sein, das deine Admin daten auf dein rechner gespeichert sind, und durch mehrmalige versuche benutzt werden? Teste es mal. Erstell ein Weiteren Admin. Simulier dann mal dein fehler. Schau dann als welcher Admin du eingelogt bist
    Bin ab sofort Aktiver 1.1 tester *grins* Aufgepasst: An alle Fehler verstecken sinnlos. Ich finde euch.
    0 Mitglieder finden den Beitrag gut.
  13. Do. 11.01.2007 16:42 Uhr #13
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Im Prinzip ist HTACCESS also so ähnlich wie der Login beim Clanscript.

    HTACCESS besteht, wenn man einen Ordner schützen will, aus zwei Dateien.
    Zum einen die Datei ".htpasswd" die enthält das Passwort oder aber auch für viele User die Namen und Passwörter. Die Passwörter sind dabei nicht in Klartext sondern verschlüsselt (ich meine sogar md5) gespeichert.
    Die ".htaccess" die befindet sich in dem Ordner der geschützt werden soll.
    Darin befinden sich alle möglichen Parameter, unteranderem auch der Verweis zur ".htpasswd"
    Die ".htpasswd" befindet sich außerhalb des zu schützenden Ordner und kann auch einen anderen Namen tragen, der dann logischerweise in der ".htaccess" entsprechend vermerkt sein muss
    Wichtig ist aber das sie beide mit einen . Punkt beginnt, damit die Datei trotz Directorylisting (ich hoffe doch jeder weiß was das ist) nicht angezeigt wird.

    Sobald jemand den Ordner über einen Browser aufruft, bekommt der Server die Anfrage und verarbeitet zu aller erst die Datei ".htaccess". Findet der Server keine, fährt er mit der eingestellten Datei fort, listet alle Dateien des Verzeichnis auf oder gibt eine Fehlermeldung zurück.

    Alles klar soweit?
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  14. Do. 11.01.2007 20:35 Uhr #14
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Hallo Panicsheep,

    ja danke erstmal das Prinzip selber ist mir schon klar 
    Sobald jemand den Ordner über einen Browser aufruft

    und genau da ist mein Problem was ich schätzungsweise ein paar mal versucht habe zu erklären aber mich wol hier die anderen nicht so wirklich verstehen...

    Die beiden Dateien werden aufgerufen sobald mann den Ordner der durch HTACCESS geschützt wurde aufruft und danach muss mann ja einen Benutzernamen und ein Passwort eigeben um einen zugriff auf die Dateien zu bekommen die darin liegen.
    Also ich habe das mit meinem Ordner "admin" gemacht. Da ich als Admin 3 Mal eingeloggt war---->?
    Letztlich dachte ich mir das es das wohl nicht geben kann da sind nun zwei andere Admins als Admins eingeloggt wie geht das.... weiter....
    Nun ich selber admin konnte mich danach am nächsten Tag nicht mehr einloggen weil das Admin Passwort geändert wurde. Ich habe es mit neues Passwort zusenden auch nicht wieder hin bekommen.
    Nun dachte ich das ich den Ordner ADMIN selbst gegen unbefugten zugriff schützen müsste und habe mir eben ein HTACCESS von externer Link zugelegt um eben diesen bereich gegen nochmaligen zugriff zu schützen!

    Das hab ich auch dann gemacht so nun werde ich beim Eintritt zum Admin Bereich nach einen Sepperaten Benutzernamen und Passwort gefragt das ich danach eingeben muss um in meinen Admin bereich zu gelangen alles soweit klar?
    Nun das Problem klicke ich nun drei mal auf Abbrechen bin ich trotzdem im Admin bereich!

    Ah und Forumuser und thbreidenbach
    der Satz
    Interessant. Abbrechen. 
    Wo gibt es denn sowas.
    dachte ich eigentlich an Traumschiff Surprise hat da nicht einer der dreien auch mal so nen Satz abgelassen! (War ja lustig und hat voll auf einen Post gepasst) Also bitte ich beleidige hier keinen ich binn doch froh wenn mir geholfen wird!

    Danke schon mal im forraus!


    Zuletzt modifiziert von Sapperlot am 11.01.2007 - 20:58:28
    0 Mitglieder finden den Beitrag gut.
  15. Do. 11.01.2007 23:05 Uhr #15
    User Pic
    Panicsheep Hall Of Fame
    Registriert seit
    24.08.2004
    Beiträge
    10.192
    Beitragswertungen
    16 Beitragspunkte
    Ja, du hast recht das man, wenn man mehrmals die Passworteingabe abbricht, mit dem Adminbereich arbeiten kann.
    Aber! Es ist sehr nervend und umständlich nach jedem klick die Passwortabfrage mehrmals wegzuklicken.

    Das ein anderer dir dein Passwort löscht oder ändert kann allerding normal nicht sein, da niemand, egal ob Admin oder nur Modulrecht für User, den Admin mit der ID1 (dein Account) ändern können sollte.
    Das das Passwort auch mit der "Passwortvergessenfunktion" nicht erneuert werden konnte liegt auch daran das ID1 nicht verändert werden kann.
    Du kannst also nur persönlich dein Passwort ändern, oder aber manuell direkt in der Datenbank ein Passwort für ID1 verschlüsseln lassen.

    Wenn du nicht willst das jemand im Adminbereich herrumpfuscht, dann solltest du keinem Zugriff auf den Adminbereich geben und dein Passwort sorgfältig wählen und keinem Verraten
    Omnia bona erunt
    0 Mitglieder finden den Beitrag gut.
  16. Fr. 12.01.2007 07:31 Uhr #16
    User Pic
    Sapperlot Mitglied
    Registriert seit
    25.09.2006
    Beiträge
    66
    Beitragswertungen
    1 Beitragspunkte
    Danke Panicsheep für deinen Post, ne mein Passwort hab ich keinen anderen gegeben. Hmm das mit dem ID1 ist auch soweit klar das Admin passwort ändern kann ein User demnach auch nicht...
    Das mit dem Passwort Vergessen funktion ist eigendlich klar da er das sowieso nur mir zusenden lassen kann...
    Könnte es nun doch an meinem Hoster liegen? hmm ist eigentlich sehr merkwürdig das mit den drei Admins... *!*

    Also ich danke Euch für Eure hilfe und dir Panicsheep danke ich für die klarenden Worte! (Sapperlot)


    Zuletzt modifiziert von Sapperlot am 12.01.2007 - 08:19:40
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu HTML, PHP, SQL,...

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten