Benutzerverwaltungs-Bugs

[kuborgh]

An alle Contenido Entwickler und User,

ich arbeite mich für einen Kunden momentan in das Contenido System 4.4.2 ein und musste leider feststellen, dass das System bezüglich der User-Authentifizierung zwei gravierende Sicherheitslöcher aufweist!

1) Ich habe einen User angelegt und ihm weder Rechte auf irgend einen Mandanten, noch Rechte auf eine Sprache erteilt habe (er hat also quasi überhaupt keine Rechte!). Er kann sich trotzdem sowohl ins Backend (ohne Funktionen zwar, aber dazu später mehr), als sich in die geschützten Bereiche einloggen! Noch mal: KEINE RECHTE = ÜBERALL EINLOGGEN!!!

2) Nachdem ich als "admin" (nicht "sysadmin") über "Administration" -> "Benutzer" -> "Benutzer erstellen" das noch leere Formular einfach abschicke, erscheint für mich als "admin" kein neuer User, aber alle geschützen Bereiche sind ab sofort ohne Login ein OFFEN (!). Scheinbar wir geprüft: Der aktuelle User ist nicht angemeldet, also "" (leer), darf der User "" aus der Datenbank diese Seiten sehen? -> Alles ok, geschützte Seiten anzeigen!!! Ein Klick ohne darauffolgende Rückmeldung führt also bei Contenido dazu, das komplette Login System auszuschalten!!!

3) In anbetracht dieser schier unglaublichen Fehler scheint es fast harmlos, dass sich jeder beliebige User, obwohl er nur Rechte für das Frontend hat, auch ins Backend einloggen kann. Ich finde das ist aber nichts desto trotz ein weiterer Fehler, wie kann ich dann a) verhindern, dass der Benutzer das Backend sieht (und das Gefühl hat -> das könnte ich hacken... Und es erstmal versucht) und b) der Benutzer überhaupt seine Daten ändern kann.


Mir scheint es so, als ob bei Contenido bezüglich des Rechte Systems grundsätzlich etwas im argen liegt, was nicht mit (teilweise haarsträubenden Workarounds in diesem Forum -> Stichwort: Modul sendet PHP die() Kommando im HTML Header, wenn Rechte nicht sauber verwaltet werden) gelöst werden kann.
Mein Kunde war zumindes kurz davor, das Projekt mit einem anderen (sichereren) System erneut zu beginnen!

Ich hoffe es gibt eine grundsätzliche Lösung für diese Probleme, auf jeden Fall finde ich es unglaublich, dass in einer Version 4.x (!) derlei Kinderkrankheiten noch nicht ausgemerzt sind.

Viele Grüße,
Till

[timo]

1) Ich habe einen User angelegt und ihm weder Rechte auf irgend einen Mandanten, noch Rechte auf eine Sprache erteilt habe (er hat also quasi überhaupt keine Rechte!). Er kann sich trotzdem sowohl ins Backend (ohne Funktionen zwar, aber dazu später mehr), als sich in die geschützten Bereiche einloggen! Noch mal: KEINE RECHTE = ÜBERALL EINLOGGEN!!!

Ist vollkommen richtig. This is by design. Ein Backendbenutzer ohne Zugriff auf das Backend ist ja auch ein wenig sinnlos. Wo hier das Sicherheitsloch liegen soll, weiß ich nicht.

2) Nachdem ich als "admin" (nicht "sysadmin") über "Administration" -> "Benutzer" -> "Benutzer erstellen" das noch leere Formular einfach abschicke, erscheint für mich als "admin" kein neuer User, aber alle geschützen Bereiche sind ab sofort ohne Login ein OFFEN (!). Scheinbar wir geprüft: Der aktuelle User ist nicht angemeldet, also "" (leer), darf der User "" aus der Datenbank diese Seiten sehen? -> Alles ok, geschützte Seiten anzeigen!!! Ein Klick ohne darauffolgende Rückmeldung führt also bei Contenido dazu, das komplette Login System auszuschalten!!!

Ist ein Bug. Danke für deinen Report, wir werden das in der nächsten Version beheben.

3) In anbetracht dieser schier unglaublichen Fehler scheint es fast harmlos, dass sich jeder beliebige User, obwohl er nur Rechte für das Frontend hat, auch ins Backend einloggen kann. Ich finde das ist aber nichts desto trotz ein weiterer Fehler, wie kann ich dann a) verhindern, dass der Benutzer das Backend sieht (und das Gefühl hat -> das könnte ich hacken... Und es erstmal versucht) und b) der Benutzer überhaupt seine Daten ändern kann.

Mit der Version 4.5 werden die sogenannten Frontend-User eingeführt, um genau diese Probleme zu beheben. Warum diese Fehler unglaublich sein sollen, weiß ich nicht.

Mir scheint es so, als ob bei Contenido bezüglich des Rechte Systems grundsätzlich etwas im argen liegt, was nicht mit (teilweise haarsträubenden Workarounds in diesem Forum -> Stichwort: Modul sendet PHP die() Kommando im HTML Header, wenn Rechte nicht sauber verwaltet werden) gelöst werden kann.

Scheint mir nicht so. Wenn du ein Problem mit irgendeiner Funktionalität hast, die dir nicht ganz klar ist, dann frag einfach nach. Was die Module machen, liegt in den Händen des Modulentwicklers.

Ich hoffe es gibt eine grundsätzliche Lösung für diese Probleme, auf jeden Fall finde ich es unglaublich, dass in einer Version 4.x (!) derlei Kinderkrankheiten noch nicht ausgemerzt sind.

Daß die Versionierung ein wenig willkürlich ist, sollte einem bei dem Blick auf die Historie schon nach weniger als einer Sekunde klar sein. Eine stringente Versionierung wurde mit der 4.3 eingeführt. Nach wie vor gilt: Sofern keine Fehler reported werden, werden auch keine Bugs gefixt, da diese schlichtweg nicht bekannt sind.

Ich habe mir im übrigen erlaubt, den Titel-Thema zu ändern, da dieser im Bezug auf den Beitragstext nicht ganz korrekt ist.

[timo]

Ist ein Bug. Danke für deinen Report, wir werden das in der nächsten Version beheben.

Ist hiermit für die 4.4.5 sowie 4.5.x behoben und wird in der nächsten Version mit dabei sein.