Serendipity Forums

User and developer community
https://board.s9y.org/

URL fuer admin-GUI aendern

https://board.s9y.org/viewtopic.php?t=7077

Page 1 of 1

URL fuer admin-GUI aendern

Posted: Tue Sep 26, 2006 12:42 pm
by tbals
Moin,

da jeder Serendipity-Blog den zu Zugang zum Admin-Interface über "serendipity_admin.php" bereitstellt, ist es natuerlich auch fuer jeden moeglich, sich dort anzumelden.
Aus Sicherheitsgruenden wuerde ich das gerne aendern wollen, damit kein Unberechtigter die Moeglichkeit hat, dort stundenlang nach user und password zu suchen.
Aber ein einfaches umbennen der "serendipity_admin.php" in "irgendwas.php" ist nicht moeglich, da dann nix mehr funktioniert.

Den Permalink "Pfad zur Administration" zu aendern, nutzt nix, da nur in der .htaccess der link auf die "serendipity_admin.php" geaendert wird.

Gibt es eine Moeglichkeit das Admin-Interface zu "verstecken"?

Gruss
Thomas

Posted: Tue Sep 26, 2006 1:00 pm
by falk
Dieses Problem wurde hier schon einmal diskutiert. Das Problem ist, dass die Plugins unterschiedlich auf "sich selbst" zugreifen. Die können hardcodiert das serendpity_admin.php drin stehen haben, anderen ist es egal, wie die Admin-Datei heißt.

Verstecken geht an sich nicht. Aber wenn du ein ordentliches Passwort hast dürfte das doch alles egal sein, oder?

Posted: Tue Sep 26, 2006 1:25 pm
by tbals
falk wrote:Verstecken geht an sich nicht. Aber wenn du ein ordentliches Passwort hast dürfte das doch alles egal sein, oder?
jain. ich haette halt gerne vermieden, das script-kiddies sich da mit ihren tools da dran machen. den einen oder anderen hat es laut apache-log auch schon gegeben...

gruss
thomas

Posted: Tue Sep 26, 2006 1:41 pm
by stm999999999
naja, dann müssen sie halt noch zusätzlich die URL raten ... Auch keine qualitative Veränderung, nur eine quantitative.

Und denselben Effekt erreichtst Du auch, indem Du einfach ein längeres/besseres Paßword und ein längeres login wählst.

Stichwort: http://de.wikipedia.org/wiki/Security_through_obscurity

Und nochwas: Die meisten haben ja sogar extra ein Plugin installiert, wo ein Link zur Admin-Oberfläche angezeigt wird - wenn also Sicherheits-Bedarf bestehen sollten, dann wäre es wohl vernünftiger, ein paar Mechanismen gegen widerholte Versuche einzubauen. Vom simplen "dreimal falsches Paßword und Du bist raus!" (nur wer soll dann einen wieder freischalten, wenn es den admin-Acount getroffen hat?) oder ein Verzögern der nächsten Eingabe nach 3 falschen von derselben IP. Erst 1 min, dann 5 min ...
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited