moziloCMS Supportforum

moziloCMS => Plugins => Thema gestartet von: rolinux am 05. Dezember 2016, 10:21:23

Titel: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: rolinux am 05. Dezember 2016, 10:21:23
Hallo,
ich habe grade in meiner Webseitenstatistik gesehen, dass sich ein Besucher sehr intensiv auf meiner Homepage umgesehen hat, unter anderem eine Seite im passwortgeschützten Mitgliederbereich, an die er ohne Benutzer und Passwort gar nicht rankommt.
Da ich im Logonprotokoll von AccessControl (noch) keinen Eintrag für heute habe, bin ich jetzt etwas irritiert.
Wie kann das sein, dass da jemand sich eine Seite aus dem Mitgliederbereich anschauen kann, wenn er gar keinen Zugriff hat?
Gruß
Rolf
Titel: Re: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: djr am 05. Dezember 2016, 15:30:27
Hallo @rolinux,

ich kenne das AccessControl-Plugin zwar nicht, aber folgendes wird Dir hoffentlich helfen.

Zitat von: rolinux am 05. Dezember 2016, 10:21:23
..., unter anderem eine Seite im passwortgeschützten Mitgliederbereich, an die er ohne Benutzer und Passwort gar nicht rankommt. ...

Das jemand die Adresse einer Seite kennt und aufruft heißt noch nicht, dass er Ihren Inhalt sehen kann.
Wenn die Zugriffskontrolle greift, wird er um eine Identifizierung gebeten ( = Loginformular) bevor ihm der eigentliche Inhalt gezeigt wird. Das kannst Du ganz einfach testen, in dem Du selbst die Adresse aufrufst.

Nun bleibt noch die Frage, woher der Besucher die Adresse der Seite kannte, die nicht im (allgemeinen) Menü aufgelistet ist.
Dafür gibt es viele mögliche Lösungen. Neben Optionen wie Browserverlauf, Lesezeichen,... ist es hier noch gut zu wissen, dass mozilo eine sitemap.xml (https://de.wikipedia.org/wiki/Sitemaps-Protokoll#Einsendung_von_Sitemaps-Dateien_bei_Suchmaschinen) erstellt.
Titel: Re: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: rolinux am 05. Dezember 2016, 16:16:07
Hallo djr,

ok, dann sollte das also ja kein Problem sein.

Gruß
Rolf
Titel: Re: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: wasp am 05. Dezember 2016, 23:56:29
ReHi...
Edit/Gelöscht : Völlig falscher Dampfer - Mein Beitrag bezog sich auf auf das CMS-Login ...

Hier der UR-Stampf:
ZitatBZGL. mozilo-SEO / SITEMAP

Irgendwann kam der Hinweis, später dann die sog. Direktive / Richtlinie das GOOLE(tm) spidern(=durchsuchen) wird -
dies wird nun bereits länger von Google sehr hart durchgesetzt. Ob man nun SEO generell betreiben möchte

Ein wichtiger Hinweis kam hier für mich durch DJR:
Nach einem Umzug bzw. einem (RE-)Upload und einem RE-Upload
wird durch den Aufruf von:
Eine Sitemap für Suchmaschinen erstellen.
Sitemap erzeugen / löschen


Titel: Re: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: mozzi am 06. Dezember 2016, 09:12:37
Die Sitemap, die auf der Webseite angezeigt wird (bei Mozilo 2.0 unter index.php?action=sitemap), enthält den paßwortgeschützten Bereich nicht, aber wie oben geschrieben die von Mozilo erstellte Datei sitemap.xml . Und da diese einem weit verbreiteten Standard entspricht, schauen da natürlich auch viele Bots nach, denn daraus ist eine Liste der Unterseiten sehr viel einfacher erstellt als durch das Verfolgen des Webseitenmenüs.
Titel: Re: AccessControl: Anmeldung ohne Protokoll?
Beitrag von: rolinux am 06. Dezember 2016, 09:18:35
Da der Mitgliederbereich eine eigene mozilo-Installation und damit unabhängig vom öffentlichen Teil ist, habe ich die Erstellung der sitemap.xml in dieser Installation abgeschaltet. Der Mitgliederbereich ist ja nicht für die Suchmaschinen gedacht.
Vielen Dank für die Hinweise.

Gruß
Rolf
Titel: AccessControl
Beitrag von: amateur am 24. Juli 2022, 17:57:22
Hallo,
seit einigen Wochen erhalte ich von MOZILO immer wieder ein Protokoll über Zugangsversuche zum Adminbereich, fast immer vom selben Absender. Die Dateien über mehrere Mails listet jeweils  100  Veruche auf, jeweils in kürzester Zeit.
Wenn ich mich mit falschem Passwort anmelden will, schmeisst MOZILO mich nach drei Versuchen erstmal raus. Warum gelingt es dem Angreifer so oft in einem Rutsch.
(Habe leider nicht gefunden, wie ich ein neues Thema aufmachen kann.)
Titel: Antw:AccessControl: Anmeldung ohne Protokoll?
Beitrag von: marusti am 25. Juli 2022, 11:35:36
Vielleicht hilft dir das weiter
https://www.mozilo.de/forum/index.php/topic,4461.0.html
Ps: neue Themen kannst du in der jeweiligen Kategorie oben rechts über die Buttons erstellen
Titel: Antw:AccessControl: Anmeldung ohne Protokoll?
Beitrag von: amateur am 26. Juli 2022, 16:05:55
Danke, marusti, für den schnellen Hinweis.
Ich hatte dank dieses Forums bereits mein admin-Verzeichnis geändert. Da bleibt die Frage offen, warum meine falschen Inlog-Versuche nach drei malen zum vorläufigen Halt führen, der Angreifer innerhalb weniger Minuten aber über hunderte Versuche starten kann.
Das letzte Protokoll habe ich angehängt.
Vielleicht mache ich irgendwo einen Denkfehler ?
Titel: Antw:AccessControl: Anmeldung ohne Protokoll?
Beitrag von: amateur am 26. Juli 2022, 16:09:35
Mit dem Anhang versuch ich`s nochmal.
Titel: Antw:AccessControl: Anmeldung ohne Protokoll?
Beitrag von: amateur am 09. August 2022, 11:10:59
Zitat von: amateur am 26. Juli 2022, 16:09:35
Mit dem Anhang versuch ich`s nochmal.