Danke und Vorschläge bez. Fehler und Verbesserungen

MyOOS [Dumper]ist ein Sicherungsprogramm für MySQL-Datenbanken. Damit können Sicherungskopien der Daten (Forum, Shop, Blog, usw.) erstellt und bei Bedarf auch wieder hergestellt werden. Besonders bei Web-Space ohne Shell-Zugang bietet sich MyOOS [Dumper] als sinnvolle Alternative an.
MK70
Beiträge: 64
Registriert: 05.02.2021, 16:11

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von MK70 »

Suppi... :wink:

Danke Dir... :wink:
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

@r23

Zu dieser Änderung würde auch eine Aktualisierung der Hash-Optionen passen, denn die Liste ist nicht mehr Zeitgemäss. Zum einen fehlt MD5APR1 sowie bcrypt. Für MD5APR1 hätte ich bereits eine funktionierende PHP Implementierung gefunden. Wenn wir README und LICENSE dazu packen, sind die Voraussetzungen erfüllt. Lizenz ist "MIT". Und bcrypt wäre auch kein Problem, da das schon von PHP ab Version 5.5 unterstützt wird und MOD ohnehin für PHP 5.6+ konzipiert ist.

Test der aktuellen Optionen. J = funktioniert, N = funktioniert nicht.

Crypt:
WEB: J / WAMP: N

MD5:
WEB: N / WAMP: N

SHA1:
WEB: J / WAMP: J

unverschlüsselt:
WEB: N / WAMP: J

SHA1 ist die kompatibelste Option scheint mir. MD5 hat komplett versagt. Das habe ich mir dann mal näher angeschaut und der Hash in .htpasswd sieht reichlich seltsam aus, das habe ich so noch nirgends gesehen. Wie ich dann im Source sah, verwendet der Generator eine Methode die mir nicht geläufig ist. Fakt ist, der Apache kann mit diesem "MD5" Hash absolut nichts anfangen. Ein funktionierender Hash sieht ganz anders aus. Vermutlich hängt das von der Server Software und deren Version ab.
r23
Beiträge: 2625
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von r23 »

Hallo,

nerven soll die Anwendung sicherlich nicht.

Zurzeit gibt es hier ein "kleines" technisches Problem. PHP Code kann man nicht veröffentlichen und noch so ein paar Kleinigkeiten.

Ich wollte ein Update machen und eben die Fehler beseitigen. Mitten im Update kam es zu weiteren technischen Problemen. Nach Rücksprache mit der Hotline benötigt die Seite ein neues Service Paket. Dies werde ich morgen oder übermorgen bestellen und dann hoffentlich die Fehler hier beseitigen können.

Danke für die Hinweise.

LukeWCS hat geschrieben: 02.03.2021, 22:18 Wie ich dann im Source sah, verwendet der Generator eine Methode, die mir nicht geläufig ist. Fakt ist, der Apache kann mit diesem "MD5" Hash absolut nichts anfangen. Ein funktionierender Hash sieht ganz anders aus. Vermutlich hängt das von der Server Software und deren Version ab.
Ich habe zurzeit leider nicht viel gefunden.

Nur
https://gist.github.com/KrzysztofPrzygo ... f36fd9364e
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

r23 hat geschrieben: 03.03.2021, 00:23 Zurzeit gibt es hier ein "kleines" technisches Problem. PHP Code kann man nicht veröffentlichen und noch so ein paar Kleinigkeiten.
Ja, zur Zeit ist das Forum ein wenig unkooperativ. ^^
Ich habe zurzeit leider nicht viel gefunden.

Nur
https://gist.github.com/KrzysztofPrzygo ... f36fd9364e
Ist eine alternative MD5APR Implementierung zu dem was ich gefunden hatte, danke! Dort fehlen allerdings jegliche Copyright und Lizenz Informationen, diesen Code möchte ich eher nicht in MOD integrieren.

Wobei es mir im Moment aber primär darum geht, was das für eine seltsame MD5 Implementierung im Dumper ist, die nirgends funktioniert. Genauer gesagt geht es mir darum zu ermitteln, ob wir diese Option beibehalten müssen, oder ob wir das entfernen können. Das erste seltsame ist, das hier ein Hash aus Benutzername, Verzeichnisschutz-Name und Passwort gebildet wird. Das zweite seltsame ist, das der Hash ohne Präfix und ohne Konvertierung in die .htaccess geschrieben wird. Ein Webserver dürfte sich also schwer tun mit der Erkennung des Hash-Typs.

Bei meinen Recherchen bin ich auf "Digest" gestossen, nur dort konnte ich diese Kombination "$username:$realm:$userpass" finden. Bei Digest allerdings, müsste die ".htaccess" ganz anders aussehen, als es der Dumper macht.

Die übrigen Hash Optionen sind in der Apache Doku und auch an anderen Stellen ordentlich dokumentiert. Nur die MD5 Option des Dumpers ist "exotisch".
r23
Beiträge: 2625
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von r23 »

LukeWCS hat geschrieben: 03.03.2021, 12:18
r23 hat geschrieben: 03.03.2021, 00:23 Zurzeit gibt es hier ein "kleines" technisches Problem. PHP Code kann man nicht veröffentlichen und noch so ein paar Kleinigkeiten.
Ja, zur Zeit ist das Forum ein wenig unkooperativ. ^^
Ich bin dran...

Wir verwenden jetzt die aktuelle phpBB 3 Version. Nur das Update vom Theme ist noch nicht abgeschlossen. Die Technik vom Server wurde auch geändert...
Wobei es mir im Moment aber primär darum geht, was das für eine seltsame MD5 Implementierung im Dumper ist, die nirgends funktioniert.
https://www.php.net/manual/de/function.md5.php
https://tools.ietf.org/html/rfc1321

ich denke, es wurde unter PHP 4.3.x eingebaut und nie wieder betrachtet. Damals hatten Hippe Projekte einen eigenen .htaccess Generator. Und wenn HIP Projekt A - so etwas verwendet... muss es ja stimmen. Vermutlich hat es auch mal funktioniert und irgend jemand hat es verbesser. Ich kann dies besonders gut :)
Genauer gesagt geht es mir darum zu ermitteln, ob wir diese Option beibehalten müssen, oder ob wir das entfernen können. Das erste seltsame ist, das hier ein Hash aus Benutzername, Verzeichnisschutz-Name und Passwort gebildet wird.

Es funktioniert ja nicht - Kann also raus. Und der Generator wird ja nur für die Erstellung verwendet. Und wenn bei jemanden dies auf dem Server funktioniert hat - gibt es diese fehlerhafte Funktion in der Zukunft halt nicht mehr.

Ich erstelle in der Regel Verzeichnisschutz über die Oberfläche vom Provider und da reichte mir .htaccess vorhanden oder nicht aus.
Bei meinen Recherchen bin ich auf "Digest" gestossen, nur dort konnte ich diese Kombination "$username:$realm:$userpass" finden.
in der Dokumentation von Apache 2.2 kann man dies PHP noch finden
http://publib.boulder.ibm.com/httpserv/ ... tions.html
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

r23 hat geschrieben: 03.03.2021, 14:29
Ich bin dran...
Was hältst du davon, dabei auch einen neuen BBcode einzubauen? Ein In-Line Code wäre noch sehr hilfreich, insbesondere wenn man Anleitungen erstellt, bei denen Dateien, Ordner oder Kommandozeilen Befehle erwähnt/erklärt werden. Ich hätte einen solchen BBcode bereits vorbereitet und an diesen Style hier angepasst. Dann könnte ich auch meine MyOOSDumper Upgrade & Update Anleitung hier im Forum posten.
Es funktioniert ja nicht - Kann also raus. Und der Generator wird ja nur für die Erstellung verwendet. Und wenn bei jemanden dies auf dem Server funktioniert hat - gibt es diese fehlerhafte Funktion in der Zukunft halt nicht mehr.
Nicht das du mich missverstehst: Irgendwann und irgendwo muss das ja mal funktioniert haben, sonst hätte Daniel die Option ja nicht eingebaut. Ich kann aber in meinem persönlichen Umfeld bei keinem einzigen Server diese exotische MD5 Option nutzen. Das alleine wäre aber für mich noch kein Grund die Option zu entfernen. Ich kann aber auch nirgends eine Information finden, die schlüssig erklären könnte, wo das benötigt wird bzw. wo das funktioniert. Und wegen letzterem tendiere ich jetzt tatsächlich dazu, das komplett zu entfernen und direkt durch MD5APR zu ersetzen. Denn das ist dokumentiert und das funktioniert laut meinen Tests auch überall.
Ich erstelle in der Regel Verzeichnisschutz über die Oberfläche vom Provider und da reichte mir .htaccess vorhanden oder nicht aus.
Ich persönlich brauche den .htaccess Generator von MOD ebenfalls nicht, da ich mit übergeordneten Berechtigungen arbeite, weil ich die Tools nicht individuell schützen muss/will. Aber wenn ich schon dabei bin, die Verzeichnisschutz Option zu überarbeiten, wäre es sinnvoll, auch gleich die Hash-Optionen aufzuräumen und zu aktualisieren.
in der Dokumentation von Apache 2.2 kann man dies PHP noch finden
http://publib.boulder.ibm.com/httpserv/ ... tions.html
Ja, findet man auch auf der offiziellen Apache Seite:
https://httpd.apache.org/docs/2.2/misc/ ... tions.html

Auch diesen Text habe ich bei meiner Recherche entdeckt. Eben da geht es um "Digest", was aber mit der jetzigen MD5 Form beim Dumper nichts zu tun hat, weil die .htaccess dazu anders aussehen müsste. Zudem, "Digest" kann als obsolet betrachtet werden, seit es für jeden möglich ist, ein kostenloses SSL Zertifikat zu bekommen. Digest war für HTTP konzipiert und auch nur dort sinnvoll.
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

Aktueller Stand der Passwort Hash Methoden.

Entfernt: MD5
Neu: MD5APR, bcrypt
Beschriftungen geändert.
Liste neu geordnet.
PicPick_2021-03-04_23-09-27.png
PicPick_2021-03-04_23-09-27.png (16.11 KiB) 4924 mal betrachtet
r23
Beiträge: 2625
Registriert: 18.09.2008, 05:56
Wohnort: Hagen
Kontaktdaten:

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von r23 »

LukeWCS hat geschrieben: 03.03.2021, 21:54 Aktueller Stand der Passwort Hash Methoden.
WOW - herzlichen Dank

https://github.com/r23/MyOOS/commit/62e ... a09e6b2589

Die Änderungen sind im Projekt angekommen.
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

r23 hat geschrieben: 05.03.2021, 00:00 Die Änderungen sind im Projekt angekommen.
Ich muss nachbessern was die Prüfung des Verzeichnisschutzes angeht, ich habe bereits Rückmeldungen. Bei einem bestimmten Freehoster sind jegliche externe Zugriffe deaktiviert. Sogar Zugriffe auf die eigene Domain. :evil: Das heisst wir brauchen eine passende Fehlerbehandlung, wenn der simulierte Zugriff nicht ausgeführt werden kann. Prinzipiell kein Problem, wenn sich die besagte Fehlermeldung des Hosters unterdrücken lässt, da warte ich noch auf Rückmeldung.
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

Rückmeldung für meinen Hotfix in der Sache war positiv. Werde einen Patch nachschieben der dafür sorgt, das MOD mit dem besagten Problem umgehen kann, wenn externe Zugriffe geblockt/deaktiviert sind. Das heisst die PHP Warnungen die vom Hoster getriggert werden, werden ordentlich abgefangen und eine entsprechende Fehlermeldung ausgegeben. Ausserdem wird man dann in solchen Sonderfällen per neuem Schalter in der Konfig die neue Verzeichnisschutz-Prüfung komplett deaktivieren können, was auf der Startseite dann auch entsprechend erwähnt wird.

Und es ist auch immer interessant was man entdecken kann, wenn man eigene Änderungen einbaut. Ich habe einen weiteren MSD Fehler entdeckt, der im Patch auch schon behoben sein wird: Wenn nach der Installation aus irgendeinem Grund nicht mehr in den "work" Ordner oder deren Unterordner geschrieben werden kann, sind eigentlich detaillierte Fehlermeldungen vorgesehen. Durch einen Tippfehler im Template bekommt der Benutzer diese Meldungen in so einem Fall jedoch nie zu sehen.
LukeWCS
Beiträge: 34
Registriert: 01.02.2021, 14:45

Re: Danke und Vorschläge bez. Fehler und Verbesserungen

Beitrag von LukeWCS »

Patch 1 zur Verzeichnisschutz Überarbeitung ist online. Somit sind die Unzulänglichkeiten und andere kleinere Fehler/Probleme behoben.

Bezüglich abschaltbarer Verzeichnisschutz-Prüfung haben wir (ich und zwei weitere phpBB Admins) uns dagegen entschieden. Ich hatte diese Option bereits eingebaut, aber wir sind zu dem Schluss gekommen, dass in diesem Sonderfall die Warnmeldung bei nicht ausführbarer Prüfung besser ist. Das passt auch insgesamt besser zum Konzept der neuen Prüfung: das MOD auf der Startseite keine Vermutungen äussern soll (wie es MSD getan hat), sondern Tatsachen. Soweit letztere zweifelsfrei feststellbar sind natürlich.

edit: Szenarien-Bilder ergänzt: viewtopic.php?f=41&t=2144&p=4350#p4350
Antworten