phpmyadmin in Third-Party Aplications

[jahlives]

Ähm damit meinte ich schon dass ich nach 55 Minuten die index.cgi neu geladen habe und dort habe ich keinen Timeout erhalten. Btw würde ich mit dem genannten PHP Code auch bei den 3rd Party Appl den Timeout bemerken, weil dann einfach eine weisse Seite mit 403-er HTTP Fehler angezeigt würde

 

[itari]

Zum Sicherheitskonzept bin ich nun schon ein wenig weiter. Ich hab mal mod_rewrite in den sys-Apache geladen und eine .htaccess-File in das 3rdparty-Verzeichnis gelegt. Ich bin gerade dabei, alle Skripte aus dem phpsrc zu entfernen und mit in das 3rd-party-Verzeichnis zu legen, so wie bei den spk-Paketen es ja auch gemacht wird.

In der .htaccess-File frage ich den IP-Adress-Raum ab (wie im Wiki zu lesen ist).

Im Moment scheint damit der Zugang abgeriegelt zu werden. Das heißt, auf die 3rd-party-apps kann nur jemand zugreifen, der sich vorher beim Disk Station Manager angemeldet hat. Wenn sich das als stabil herausstellt, dann könnte man auf das mysqld-Passwort bei die Anmeldung dort verzichten, weil der Zugang zum phpmyadmin nur über den DS Manager möglich wäre. Damit wäre der Weg frei zu einer allgemeinen Lösung, die nicht mehr auf Paket-Ebene abgesichert werden müsste (dennoch aber individuell könnte).

Vielleicht kann ja jemand mit auf meinen Zug springen und auch checken, ob man bei einer solchen Konstruktion sich noch am Zugang durch den DS Manager vorbei mogeln kann.

itari

 

[jahlives]

Im Moment scheint damit der Zugang abgeriegelt zu werden. Das heißt, auf die 3rd-party-apps kann nur jemand zugreifen, der sich vorher beim Disk Station Manager angemeldet hat.

imho wirst du nur mit einer IP-Prüfung den Zugang nicht wirklich absichern. Alle mit einer korrekten IP können doch die 3rd Party Files direkt aufrufen (v.a. wenn du IP Adressen von Proxies und Gateways drin hast). Die IP Prüfung in der htaccess stellt so nicht sicher, dass der User wirklich am DS-Manager angemeldet ist. Das kann nur ein Code der authenticate.cgi aufruft.
Oder hat du diesen Code mittels htaccess bereits den PHP Files vorangestellt?

 

[itari]

Scheinst hast du recht.

Ja dann werde ich die Geschichte nicht mehr weiter vertiefen. Also, ab jetzt sind alle 3rd-party-apps ein Sicherheitsrisiko und damit werden wir dann leben müssen.

itari

 

[jahlives]

Scheinst hast du recht. Ja dann werde ich die Geschichte nicht mehr weiter vertiefen. Also, ab jetzt sind alle 3rd-party-apps ein Sicherheitsrisiko und damit werden wir dann leben müssen.

itari

Also zumindest PHP-Appl kannst du so absichern, dass sie nur funzen, wenn du am DS-Manager erfolgreich angemeldet bist. So habe ich meine 3rd Parties abgesichert und als Zusatz hilft der PHP Code noch gegen den Timeout im Manager. Eigentlich kannst du so alle Dateien absichern, welche durch den PHP-Parser gejagt werden (mit dem entsprechenden Handler im Apache geht's wohl auch für html Files)
Als abgesichert würde ich die Appls dann bezeichnen wenn der Admin Login ein entsprechend komplexes PW hat. Zu kurze PWs würden hingegen zu trügerischer Sicherheit führen.

Gruss

tobi

 

[QTip]

Ähm damit meinte ich schon dass ich nach 55 Minuten die index.cgi neu geladen habe und dort habe ich keinen Timeout erhalten.

Also bei mir wird das Timeout durch die authenticate.cgi nicht hinausgezögert. Bin ich über die Zeit drüber und wähle dann einen Menüpunkt mit index.cgi, dann erscheint kurz darauf eine Messagebox mit dem Hinweis "Sie dürfen diesen Dienst nicht verwenden". Vor der Änderung bekam ich immer die Meldung "Zeit abgelaufen"
Anschließend erscheint das Loginfenster.

Btw würde ich mit dem genannten PHP Code auch bei den 3rd Party Appl den Timeout bemerken, weil dann einfach eine weisse Seite mit 403-er HTTP Fehler angezeigt würde

Jo, die weisse Seite bekomme ich dann auch, wenn das Timeout abgelaufen ist, wird bei mir nicht durch die authenticate.cgi verlängert.

Eingebunden hab ich die folgendermaßen:
die beiden Apache-Module eingetragen, dann eine .htaccess in /usr/syno/synoman/webman/3rdparty mit

php_value auto_prepend_file /usr/syno/synoman/webman/3rdparty/checkuser.php

erstellt und den PHP-Code in checkuser.php. Auf die IP-Blockierung hab ich verzeichtet.

 

[jahlives]

Also bei mir wird das Timeout durch die authenticate.cgi nicht hinausgezögert. Bin ich über die Zeit drüber und wähle dann einen Menüpunkt mit index.cgi, dann erscheint kurz darauf eine Messagebox mit dem Hinweis "Sie dürfen diesen Dienst nicht verwenden".

Also wenn ich über der Zeit bin, dann fliege ich ja auch raus, das ist so gewollt Wenn ich aber während der erlaubten Zeit immer wieder mal einen 3rd Party Appl Link klicke, dann verlängert sich das Timeout. Und wenn ich sagen wir mal nach 1h (immer wieder gelickt, damit der Timeout "verschoben" wird) einen Refresh des Hauptfensters mache (F5) dann bin ich immer noch drin und fliege nicht raus.
Du hast schon immer wieder einen Link geklickt, damit der PHP Code ausgeführt wurde? Der Client muss diese Aktion immer wieder auslösen, sonst gibts den Timeout

 

[morritza]

Huch 2008.
Naja bin jetzt 2009 auf das gleiche Problem gestoßen,
die phpmyadmin Installation übers wikki bringt das Problem mit dem update der Sql Datenbank.
Hängt wohl mit der Version zusammen die man benutzt.

 

[Matthieu]

Nimm mal bitte das spk-Paket von Synology. Sollte besser funktionieren.

MfG Matthieu

 

[morritza]

Oh. Schade das das im Wiki ganz unten steht.

Wie kann ich denn dem Torrentflux, nen Ordner anlegen mit entsprechenden Rechten, wohin er die Downloads lädt?

"Error: path /usr/local/torrentflux/ does not exist and cannot be created. Check that the path is writable by the webserver user."
Ist Webserver-User die Gruppe "others"?
Eigentlich hat doch nur der Admin zugang zum Flux und dieser hat ja eigentlich alle Rechte auf der DS oder nicht? Hatte schon etwas nachgeforscht aber wüsste auch nicht auf wen ich CHOWN anwenden soll. Kannste mir da helfen, wäre super?

 

[Matthieu]

Mach dazu mal bitte einen neuen Thread auf oder such einen wo sowas schon diskutiert wird.
Danke.

MfG Matthieu