pregister sicher ?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angreifen
datum
erweiterung
fehlermeldung
feld
formular
http
installieren
konsole
nachfrage
register
ruhe
server
sicherheitsrisiko
unsicheren http
url
weben
webseite
weit verbreitete software
zertifikat
-
Hi Leute,
da ich in einigen meiner Websiten pregister als Log in verwende, wollte ich euch mal fragen wie gut und sicher dieses Plugin nun wirklich ist.
Ich hoffe ihr könnt mir darauf eine Antwort geben und mir ausserdem auch sagen ob die Daten welche bei pregister eingegeben werden auch verschlüsselt an den Server übertragen werden. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
dunkeltuten schrieb:
Hallo gaminghighend,
"pregister" sagt mir nichts.
Gibt es dazu auch eine Webseite?
Gruss Redberry
Sorry da habe ich mich wohl vertippt, es heißt PieRegister, die Website dazu https://wordpress.org/plugins/pie-register/.
Es wäre sehr nett wenn jemand etwas über die Sicherheit dieses Plugins berichten könnte. -
Hallo,
PieRegister scheint mir, nach kurzem Einlesen, mäßig sicher zu sein.
Um bestehende Sicherheitslücken zu schließen benötigen sie ziemlich lange:
Pie Register 2.0.13 Privilege escalation
16-10-2014: Discovered
12-12-2014: Version 2.0.14 released, issue resolved
siehe http://security.szurek.pl/pie-register-2013-privilege-escalation.html
Allerdings ist WP ziemlich verbreitet, weshalb es sich auch für Angreifer lohnt dort und in den Plugins nach Lücken zu suchen. Deswegen ist sehr bekannte und weit verbreitete Software immer gefährdeter (analog: Wer schreibt schon für Linux-Desktops Schadsoftware wenn er auch Windows-Geräte angreifen kann?).
Deine derzeitige Seite http://gaminghighend.lima-city.de/ ist nicht TLS-Verschlüsselt, daher wird auch nichts verschlüsselt übertragen. Die Web-Konsole von Firefox gibt daher auch die dafür vorgesehende Fehlermeldung aus:
Passwort-Felder sind auf einer unsicheren (http://) Seite vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
Passwort-Felder sind in einem Formular mit einer unsicheren (http://) Formular-Aktion vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
Mfg
Arthur Dent
-
ikatools schrieb:
Hallo,
PieRegister scheint mir, nach kurzem Einlesen, mäßig sicher zu sein.
Um bestehende Sicherheitslücken zu schließen benötigen sie ziemlich lange:
Pie Register 2.0.13 Privilege escalation
16-10-2014: Discovered
12-12-2014: Version 2.0.14 released, issue resolved
siehe http://security.szurek.pl/pie-register-2013-privilege-escalation.html
Allerdings ist WP ziemlich verbreitet, weshalb es sich auch für Angreifer lohnt dort und in den Plugins nach Lücken zu suchen. Deswegen ist sehr bekannte und weit verbreitete Software immer gefährdeter (analog: Wer schreibt schon für Linux-Desktops Schadsoftware wenn er auch Windows-Geräte angreifen kann?).
Deine derzeitige Seite http://gaminghighend.lima-city.de/ ist nicht TLS-Verschlüsselt, daher wird auch nichts verschlüsselt übertragen. Die Web-Konsole von Firefox gibt daher auch die dafür vorgesehende Fehlermeldung aus:
Passwort-Felder sind auf einer unsicheren (http://) Seite vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
Passwort-Felder sind in einem Formular mit einer unsicheren (http://) Formular-Aktion vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
Mfg
Arthur Dent
Müsste ich dann hierfür ein Zertifikat kaufen oder wie kann ich dieses Problem sonst noch lösen ? -
ja, damit z.B. Logindaten verschlüsselt werden brauchst du ein SSL-Zertifikat (dann wird die ganze Seite verschlüsselt und Firefox gibt dann auch in der Konsole Ruhe).
Möchtest du nur z.B. die Logindaten vom Client verschlüsselt an den Server schicken kannst du auch mit OpenPGP.js (http://openpgpjs.org/) die Daten verschlüsseln und hier mit GnuPG (http://php.net/manual/en/book.gnupg.php) entschlüsseln (musst halt mal nachfragen ob sie diese PHP-Erweiterung hier installieren können/wollen)...
[edit: Verlinkung]
Beitrag zuletzt geändert: 4.3.2015 15:05:02 von ikatools -
ikatools schrieb:
ja, damit z.B. Logindaten verschlüsselt werden brauchst du ein SSL-Zertifikat (dann wird die ganze Seite verschlüsselt und Firefox gibt dann auch in der Konsole Ruhe).
Möchtest du nur z.B. die Logindaten vom Client verschlüsselt an den Server schicken kannst du auch mit OpenPGP.js (http://openpgpjs.org/) die Daten verschlüsseln und hier mit GnuPG (http://php.net/manual/en/book.gnupg.php) entschlüsseln (musst halt mal nachfragen ob sie diese PHP-Erweiterung hier installieren können/wollen)...
[edit: Verlinkung]
Geht das nicht auch mit Kostenlosen Zertifikaten, wie zum beispiel dieses: https://cert.startcom.org/?lang=de
Kann ich das selber dann installieren oder muss da LimaCity etwas machen ? -
Ich habe hier im Verwaltungs-Panel keine Möglichkeit gefunden eigene SSL-Zertifikate zu importieren.
Hat ja auch seinen Sinn, lima-city möchte ja seine eigenen Zertifikate verkaufen...
PS: Diese PHP-Erweiterung brauchst du evtl. in Zukunft nicht unbedingt, es gibt auch reine PHP Implementationen, z.B. https://github.com/jasonhinkle/php-gpg, aber da fehlt momentan eben noch die Entschlüsselungsfunktion. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage