Welcome, Guest. Please login or register.
Did you miss your activation email?
April 16, 2014, 05:12:00 AM

Login with username, password and session length
Search:     Advanced search
Wollen Sie dem WebsiteBaker Team beitreten?
Nähere Informationen finden Sie unter hier und auf unserer neuen Webseite.
177223 Posts in 24302 Topics by 6859 Members
Latest Member: kendar
* Home Help Search Login Register
Pages: [1]   Go Down
Print
Author Topic: Ich kann, aber der Anwender nicht .....  (Read 719 times)
gottfried

Offline Offline

Posts: 1163


« on: March 01, 2012, 09:01:24 PM »

 grin
Ich hatte heute eine aufgelöste Dame am Telefon, die auf ihrer schnieken Internetpräsenz einfach eine neue Seite anlegen wollte, der wb 2.8.2 gab aber eine Sicherheitsverletzu ng. Ich hab das probiert, da ging das, sie hat das nochmal probiert, ging nicht. Letztendlich hab ich im (lern ja zu) Secure Form Switcher das Multidings aktiviert, dann ging das auch bei ihr.
Soweit, so gut. Eigentlich hat das doch früher immer funktioniert?
Später wollte Sie ein droplet (Colorbox) in ein Wysiwyg einfügen, das konnte sie nicht, weil das immer wieder gleich  "verschwand", ohne Fehlermeldung.
Ich hab ihr das problemlos eingebaut, soweit ist die Welt noch in Ordnung, aber eigentlich will sie ja alles selber machen.
Was kann nun sein, daß bei mir (Autor) alles funktioniert, sie aber bei eingeschaltetem securemultidings doch Probleme hat? Sie nimmt das gleiche login wie ich, admin. Kann das an dem neuen Applebetriebssystem auf ihrem Laptop liegen ? kaum .... oder?  huh
« Last Edit: March 06, 2012, 11:32:09 AM by gottfried » Logged
kweitzel
Forum administrator
*****
Offline Offline

Posts: 6991


WWW
« Reply #1 on: March 01, 2012, 09:32:29 PM »

Sie nimmt das gleiche login wie ich, admin.

Das wird das Problem sein Wink

Gruß

Klaus
Logged

WebsiteBaker Org e.V. - for WebsiteBaker

gottfried

Offline Offline

Posts: 1163


« Reply #2 on: March 02, 2012, 08:59:56 AM »

Quote
Das wird das Problem sein

Das wäre denkbar. Das geschieht aber, ohne daß gleichzeitig ich eingeloggt bin. Würde also auch so sein, wenn ich mich an ihrem Rechner einloggen würde. Oder irgendwo anders.
Werd ich demnächst mal ausprobieren.
Logged
kweitzel
Forum administrator
*****
Offline Offline

Posts: 6991


WWW
« Reply #3 on: March 02, 2012, 09:06:29 AM »

Leg Ihr einfach mal ein Userkonto an und probier es aus.

Viel Erfolg

Klaus
Logged

WebsiteBaker Org e.V. - for WebsiteBaker

gottfried

Offline Offline

Posts: 1163


« Reply #4 on: March 02, 2012, 02:18:58 PM »

Kann ich machen ...

So richtig verstehe ich aber eine mögliche Orts bzw Rechnerabhängigkeit nicht. Letzte Woche war ich in Kenia und ich fände es  z.B irgendwie unpraktisch, wenn der wb dort mit meinem login nicht korrekt funktionieren würde, wenn es sein müßte.
Die Dame im blauen Kleid unten ist meine Admin in Juja / Nairobi.


http://www.dominicus-patenschaften.de/wb2/pages/berichte.php?cat=/kenia-2-2012/Dominican%20Sisters%20-%20Thika


Andrerseits würde ich mir wohl wahrscheinlich zu helfen wissen. Wollt bloß die vermeindliche Problematik rausstellen.

 smiley smiley


Logged
kweitzel
Forum administrator
*****
Offline Offline

Posts: 6991


WWW
« Reply #5 on: March 02, 2012, 02:25:07 PM »

Die SecurForm ist ein "Fingerprint" der den Formularen mitgegeben wird. Wenn Ihr beide mit dem gleichen Login online seid, kann es zu Überschneidungen kommen.

Gruß

Klaus
Logged

WebsiteBaker Org e.V. - for WebsiteBaker

gottfried

Offline Offline

Posts: 1163


« Reply #6 on: March 02, 2012, 06:39:10 PM »

Hallo! Will dich nicht nerven !

Sicherheitsbestrebu ngen find ich durchaus angebracht.
Bloß woher weiß der WB, daß ich das bin, der vor dem Rechner irgendwo auf der Welt sitzt, was ja vorkommen kann?
Ich geb der num mal ein neues login, die hat lauter Probleme, die ich nicht seh.
Logged
kweitzel
Forum administrator
*****
Offline Offline

Posts: 6991


WWW
« Reply #7 on: March 02, 2012, 08:22:16 PM »

Du nervst nicht, Du willst das ja verstehen. Der Fingerprint besteht aus einigen Elementen, die u.A. auch aus Informationen bestehen, die den anfragenden Rechner betreffen. Das soll ein "Session HighJacking" verhindern. Es verhindert damit allerdings auch das Session Sharing, welches Du betreibst.

Die Details zu der ganzen Geschichte kann ich Dir aber (leider) nicht erklären, da ich selber kein Programmierer bin.

Gruß

Klaus
Logged

WebsiteBaker Org e.V. - for WebsiteBaker

easyuser

Offline Offline

Posts: 678


WWW
« Reply #8 on: March 02, 2012, 09:26:23 PM »

Mit Programmierung hat das eher wenig zu tun, eher mit Netzwerk-Topologie.

Der SecureForm / FTAN (egal ob Single oder Multitab, gibt's ja beide im Core - steuerbar über das Admin-Tool SecureForm Switcher) kombiniert einiges, um auf dieser Basis eine Validierung bei jedem Formular vorzunehmen.

Sobald "Fingerprinting" eingesetzt wird (im Standard ist es an), wird neben der IP-Adresse auch der Browser und Betriebssystem zur Validierung hinzugezogen. Die IP-Adresse sowieso - aber hier sind die Blocks zu konfigurieren (mit Class A-C Netzen und Subnetting wollen wir jetzt nicht anfangen, einfach im Standard belassen).

Jeder PC (genauer: im Internet jeder Internetanschluss => Router) hat ja eine eindeutige IP-Adresse.
Wenn Person A einen anderen Internetanschluss als Person B hat, hat sie logischerweise auch eine andere IP-Adresse. Die IP-Adresse ist auch nicht zu verschleiern - "lustige" Forensignaturen beweisen das immer wieder. Auf Internet-Servern landen die IP-Adressen sowieso, aber ist ja hinlänglich bekannt & diskutiert.

Wenn jetzt aber Person A sich mit "admin" in WB einloggt, hat sie - sagen wir mal - die IP-Adresse 62.123.202.15.
Person B vielleicht 62.124.155.3.
Der SecureForm / FTAN speichert jetzt also die IP-Adresse und zieht sie zum Vergleich immer wieder - bis die Session ausgelaufen ist - heran.
Sprich: Für SecureForm ist "admin" eben: "62.123.202" (wenn 3 Blöcke eingestellt sind) + "IE8.0" + "Win7".
Dazu kommt noch die IP von den Formularen, sagen wir "j2r8932j4e3248j32", die zusammen mit dem Secretkey, der ähnlich aussieht verdrahtet wird.
Diese Kombination wird also immer gegen "admin" geprüft. Wenn die Prüfung fehlschlägt, gibt es die berühmte "Sicherheitsverletzu ng!!!" Meldung.
Wenn sich "admin" jetzt also mit IP-Adresse "62.124.155.3" anmeldet, ist das WB erst einmal egal - gibt's admin halt zweimal.
Aber SecureForm greift hier rein.
Natürlich wäre es sinnvoller, wenn gleich das Einloggen unmöglich wäre, aber das ist wieder das Problem von "Sicherheit" vs. "Komfort".
Logged

Krankheit des Monats: Not-invented-here-Syndrom
Robert Scoble:
Web 1994 was the “get me a domain and a page” era.
Web 2000 was the “make my page(s) interactive and put people on it” era.
Web 2010 is the “get rid of pages and glue APIs and people together” era.
kweitzel
Forum administrator
*****
Offline Offline

Posts: 6991


WWW
« Reply #9 on: March 02, 2012, 10:11:01 PM »

Vielen Dank für die Ausführliche Erklärung, aber mit Netzwerktopologie hat das mal gar nichts zu tun.

Netzwerktopologien sind Representationen der physikalischen Verbindungen in einem Netz, wie z.B. ein Ring, ein Stern und ähnliche, mehr darüber auch hier.

Die IP Adresse, bzw, die Anzahl der hinzugezogenen Oktetts ist, wie von Dir beschrieben, nur eine Komponente die in der generierten Transaktionsnummer Einzug hält. Ein Oktett ist in diesem Fall einer von den 4 Blöcken die gemeinsam ein IP Adresse bestimmen.

Gruß

Klaus
Logged

WebsiteBaker Org e.V. - for WebsiteBaker

gottfried

Offline Offline

Posts: 1163


« Reply #10 on: March 03, 2012, 11:57:38 PM »

Hallo !
Danke für die Erklärungen, jetzt versteh ich das eher.   smiley
Für Sicherheit bin ich immer.  grin
Es können nicht zwei Benutzer mit dem gleichen Login an verschiedenen Orten arbeiten.  Aber nacheinander, wenn die "Session abgelaufen" ist. z.B ich bei einem Kunden zu Besuch.

Ist die php session gemeint, spielt ausloggen eine Rolle oder hat das auch was mít "secret time" und "timeout" zu tun ?  huh
Logged
Pages: [1]   Go Up
Print
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2013, Simple Machines Valid XHTML 1.0! Valid CSS!