Benutzer-ID für Admin
Bei Joomla 1.5 war es ja standardmäßig so, das der Admin bei der Installation immer die gleiche User-ID in der Datenbank hatte (die 63, wenn ich mich nicht irre)
Eben habe ich mir mal wieder eine Beta lokal installiert (die 15.) und nun hat der Admin die ID 42..
Ist das bei jeder Installation die gleiche oder wird diese per "Zufallsgenerator" vergeben? Ich denke da in erster Linie an den Sicherheitsaspekt. Bei 1.5 war es ja empfohlen, den Admin-Benutzer nicht mit der ID 63 zu verwenden.
Gruss
dj
================================================== ====
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten
42 - ansonsten ist die ID doch egal...
Mag sein. Nur wenn bei allen 1.6 Installation der Admin wieder standardmäßig die gleiche ID hat, gibts in Kürze wieder das gleiche Problem wie bei der 1.5 Wäre es hier nicht besser gewesen, wenigstens dem First Admin eine ID per Zufallsgenerator zuzuweisen?Zitat von bembelimen
Sicherheitstechnisch betrachtet sicherlich nicht falsch.
Gruss
dj
================================================== ====
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten
Problem ist vielleicht etwas übertrieben. Ich denke an von "Laien" betriebenen Internetseiten. 8 von 10 Seiten haben den SuperUser mit dem Admin unter der Standard ID 61 (war es glaube ich...). Für Hacker natürlich eine praktische Geschichte. Wie oft gibts hier die "Empfehlung" den Admin User umzubenennen und eine andere ID für Ihn zu verwenden. So gesehen könnte man meiner Meinung nach einen Angriffspunkt entschärfen und würde für den "unbedarften Joomla Webmaster" dennoch nichts schwieriger machen. Eventuell könnte man ihn noch irgendwie "zwingen" den Admin umzubenennen.
Gruss
dj
================================================== ====
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten
Achso, ich dachte schon, ich hätte was verpasst.
Übrigens es ist wirklich die ID 62, siehe Benutzerverwaltung, letzte Spalte. Das ändern des Namens "admin" in einen anderen Namen ist einfach zu bewerkstelligen. Das einfache Ändern der ID 62 in eine andere ID (bspw. 16) direkt in der Datenbank führte bei meinen Tests immer zum Crash.
Sicher kann man auch einfach ein paar neue Nutzer erstellen, einen davon dann zum Superadmin machen und anschließend den ersten Superadmin (ID62) löschen oder zum Gast herunterstufen. Ich hatte jedoch auch schon eine Erweiterung in den Fingern, welche hard codiert den User mit der ID 62 angesprochen hat. Wenn der nicht mehr da war, gabs ordentlich Mecker. Daher erachte ich das Ändern der User ID als nicht zielführend. Alternativ könnte man sonst nämlich auch die GID abfragen, zu welcher die Superadmins (25) gehören.
Ist das eine Prüfsumme die die Rechte in der Datenbank ausgiebt (sowie 0777 als Vollzugriff unter Linux)?
Gruss
dj
================================================== ====
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen