Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

AccessControl: Anmeldung ohne Protokoll?

Begonnen von rolinux, 05. Dezember 2016, 10:21:23

« vorheriges - nächstes »

rolinux

Hallo,
ich habe grade in meiner Webseitenstatistik gesehen, dass sich ein Besucher sehr intensiv auf meiner Homepage umgesehen hat, unter anderem eine Seite im passwortgeschützten Mitgliederbereich, an die er ohne Benutzer und Passwort gar nicht rankommt.
Da ich im Logonprotokoll von AccessControl (noch) keinen Eintrag für heute habe, bin ich jetzt etwas irritiert.
Wie kann das sein, dass da jemand sich eine Seite aus dem Mitgliederbereich anschauen kann, wenn er gar keinen Zugriff hat?
Gruß
Rolf
"Vergiss nie, dass die Musik viel zu wichtig ist,
um sie ganz den Profis zu überlassen."
(Robert Fulghum, amerikanischer Philosoph)

"Die Deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen.
Allerdings ist sie nicht Open Source, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."
(Verfasser unbekannt)

djr

Hallo @rolinux,

ich kenne das AccessControl-Plugin zwar nicht, aber folgendes wird Dir hoffentlich helfen.

Zitat von: rolinux am 05. Dezember 2016, 10:21:23
..., unter anderem eine Seite im passwortgeschützten Mitgliederbereich, an die er ohne Benutzer und Passwort gar nicht rankommt. ...

Das jemand die Adresse einer Seite kennt und aufruft heißt noch nicht, dass er Ihren Inhalt sehen kann.
Wenn die Zugriffskontrolle greift, wird er um eine Identifizierung gebeten ( = Loginformular) bevor ihm der eigentliche Inhalt gezeigt wird. Das kannst Du ganz einfach testen, in dem Du selbst die Adresse aufrufst.

Nun bleibt noch die Frage, woher der Besucher die Adresse der Seite kannte, die nicht im (allgemeinen) Menü aufgelistet ist.
Dafür gibt es viele mögliche Lösungen. Neben Optionen wie Browserverlauf, Lesezeichen,... ist es hier noch gut zu wissen, dass mozilo eine sitemap.xml erstellt.

rolinux

Hallo djr,

ok, dann sollte das also ja kein Problem sein.

Gruß
Rolf
"Vergiss nie, dass die Musik viel zu wichtig ist,
um sie ganz den Profis zu überlassen."
(Robert Fulghum, amerikanischer Philosoph)

"Die Deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen.
Allerdings ist sie nicht Open Source, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."
(Verfasser unbekannt)

wasp

#3
ReHi...
Edit/Gelöscht : Völlig falscher Dampfer - Mein Beitrag bezog sich auf auf das CMS-Login ...

Hier der UR-Stampf:
ZitatBZGL. mozilo-SEO / SITEMAP

Irgendwann kam der Hinweis, später dann die sog. Direktive / Richtlinie das GOOLE(tm) spidern(=durchsuchen) wird -
dies wird nun bereits länger von Google sehr hart durchgesetzt. Ob man nun SEO generell betreiben möchte

Ein wichtiger Hinweis kam hier für mich durch DJR:
Nach einem Umzug bzw. einem (RE-)Upload und einem RE-Upload
wird durch den Aufruf von:
Eine Sitemap für Suchmaschinen erstellen.
Sitemap erzeugen / löschen



mozzi

Die Sitemap, die auf der Webseite angezeigt wird (bei Mozilo 2.0 unter index.php?action=sitemap), enthält den paßwortgeschützten Bereich nicht, aber wie oben geschrieben die von Mozilo erstellte Datei sitemap.xml . Und da diese einem weit verbreiteten Standard entspricht, schauen da natürlich auch viele Bots nach, denn daraus ist eine Liste der Unterseiten sehr viel einfacher erstellt als durch das Verfolgen des Webseitenmenüs.
Signatur? Ich nehm die Vorlage: "Die Bilder in ihrer Signatur dürfen nicht größ als 640x320 Pixel sein" ... ;-)

rolinux

Da der Mitgliederbereich eine eigene mozilo-Installation und damit unabhängig vom öffentlichen Teil ist, habe ich die Erstellung der sitemap.xml in dieser Installation abgeschaltet. Der Mitgliederbereich ist ja nicht für die Suchmaschinen gedacht.
Vielen Dank für die Hinweise.

Gruß
Rolf
"Vergiss nie, dass die Musik viel zu wichtig ist,
um sie ganz den Profis zu überlassen."
(Robert Fulghum, amerikanischer Philosoph)

"Die Deutsche Rechtschreibung ist Freeware, du darfst sie kostenlos nutzen.
Allerdings ist sie nicht Open Source, d.h. du sollst sie nicht verändern oder in veränderter Form veröffentlichen."
(Verfasser unbekannt)

amateur

Hallo,
seit einigen Wochen erhalte ich von MOZILO immer wieder ein Protokoll über Zugangsversuche zum Adminbereich, fast immer vom selben Absender. Die Dateien über mehrere Mails listet jeweils  100  Veruche auf, jeweils in kürzester Zeit.
Wenn ich mich mit falschem Passwort anmelden will, schmeisst MOZILO mich nach drei Versuchen erstmal raus. Warum gelingt es dem Angreifer so oft in einem Rutsch.
(Habe leider nicht gefunden, wie ich ein neues Thema aufmachen kann.)

marusti

Vielleicht hilft dir das weiter
https://www.mozilo.de/forum/index.php/topic,4461.0.html
Ps: neue Themen kannst du in der jeweiligen Kategorie oben rechts über die Buttons erstellen

amateur

Danke, marusti, für den schnellen Hinweis.
Ich hatte dank dieses Forums bereits mein admin-Verzeichnis geändert. Da bleibt die Frage offen, warum meine falschen Inlog-Versuche nach drei malen zum vorläufigen Halt führen, der Angreifer innerhalb weniger Minuten aber über hunderte Versuche starten kann.
Das letzte Protokoll habe ich angehängt.
Vielleicht mache ich irgendwo einen Denkfehler ?

amateur


amateur