adminAccountForLocalhost

Hier finden YaCy User Hilfe wenn was nicht funktioniert oder anders funktioniert als man dachte. Bei offensichtlichen Fehlern diese bitte gleich in die Bugs (http://bugs.yacy.net) eintragen.
Forumsregeln
In diesem Forum geht es um Benutzungsprobleme und Anfragen für Hilfe. Wird dabei ein Bug identifiziert, wird der thread zur Bearbeitung in die Bug-Sektion verschoben. Wer hier also einen Thread eingestellt hat und ihn vermisst, wird ihn sicherlich in der Bug-Sektion wiederfinden.

adminAccountForLocalhost

Beitragvon Cominch » Mo Jan 17, 2011 2:55 pm

...only for localhost:

Ist nicht korrekt. Ich setze einen frischen Peer auf bzw. starte den Peer neu, und habe auch von außerhalb Admin-Rechte! Sehr gefährlich, da jeder neu gestartete Peer für ein paar Minuten angreifbar ist!
Cominch
 
Beiträge: 11
Registriert: Fr Jan 14, 2011 5:01 pm

Re: adminAccountForLocalhost

Beitragvon Lotus » Mo Jan 17, 2011 9:39 pm

Der einzige Angriff der mir einfällt und nicht auffällt: Direkt nach dem Zutritt ins Freeworldnetz setzt der Angreifer von extern ein Passwort und stellt den Localhostzugriff ein. D.h. es existiert ein dem Anwender unbekanntes kompromittertes Passwort welches er nie benötigt und deshalb nicht auffällt.
Alle anderen Szenarien würden auffallen.

Idee: wenn der Anwender zum ersten mal die Eingangskonfiguration bestätigt und dies vom Localhost kommt schon ein Passwort setzen.
Lotus
 
Beiträge: 1699
Registriert: Mi Jun 27, 2007 3:33 pm
Wohnort: Hamburg

Re: adminAccountForLocalhost

Beitragvon Cominch » Di Jan 18, 2011 4:45 am

Wäre ich ein böser Bube, würde ich warten, bis eine neue Version rauskommt, und dann in der darauffolgenden Nacht jede Minute jeden Peer checken, bis er einen Neustart macht - es gibt bestimmt Leute, die kein Passwort setzen bzw den Init-Dialog ignorieren. dann hätte ich eine Menge Peers unter Kontrolle...

wieso nicht von Beginn an ein Zufallspasswort, das man nur von localhost ändern kann? besser: gar kein admizugriff von außen, nur wenn mans explizit freischaltet..

für was ist denn überhaupt der Delay gedacht, der den Zugriff von außerhalb zulässt?
Cominch
 
Beiträge: 11
Registriert: Fr Jan 14, 2011 5:01 pm

Re: adminAccountForLocalhost

Beitragvon Vega » Di Jan 18, 2011 10:35 am

Weil es Leute/Firmen/Organisationen gibt die Yacy in einer Serverfarm bzw. in einem Rechenzentrum betreiben... und da gibt es keinen Desktop - sondern nur SSH......, es ist einfach komfortabler sofort nach dem Peer-Start/der Peer-Installation das Passwort über die Weboberfläche setzen zu können. Natürlich könnte man sofort beim Starten ein Zufalls-Passwort vergeben, was dazu führt das hier Thread entstehen "Hilfe, Yacy neu installiert, keine Anmeldung möglich...." Ich denke die jetzige Variante ist vertretbar. Beim Update auf eine neue Version kannst Du die Peers gern beobachten, beim Start der neuen Version wird das alte, hoffentlich schon gesetzte Passwort wieder verwendet. Yavy überschreibt bei einem Update keine Konfigurationsdateien.

Thomas

Cominch hat geschrieben:wieso nicht von Beginn an ein Zufallspasswort, das man nur von localhost ändern kann? besser: gar kein admizugriff von außen, nur wenn mans explizit freischaltet..?
Vega
 
Beiträge: 824
Registriert: Mi Jun 27, 2007 3:34 pm
Wohnort: Dresden

Re: adminAccountForLocalhost

Beitragvon Cominch » Di Jan 18, 2011 10:43 am

ok danke für die Erklärung!

Gruß Dominic
Cominch
 
Beiträge: 11
Registriert: Fr Jan 14, 2011 5:01 pm


Zurück zu Fragen und Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron