Separate Anmeldung für Frontend und Backend

  • App
    WoltLab Suite Core

    Hallo,


    seit dem letzten Update ist man nach der Anmeldung im Backend auch im Frontend angemeldet. Wir verwenden für administrative Aufgaben, und mit wir meine ich hier nicht die Meisterschützen, granular dafür berechtigte Benutzer. Mein Vorschlag wäre, eine separate Anmeldung im Frontend und Backend zu ermöglichen, ganz so wie es auch bisher immer möglich war.


    Beste Grüße

  • Ich lese keinen Vorteil aus dem Vorschlag heraus. Was bringt es, das wieder zu trennen?

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • Das wird nicht geändert, da

    a) es wurde explizit vom gewünschten Verhalten zu diesem umgestellt

    b) dieses aktuelle Verhalten für eine sinnvolle Umsetzung der Mehrfaktorauthentifizierung erforderlich ist.


    Von WoltLab gab es dazu bereits im Vorfeld während der Beta-Phase hier und da genauere Erklärungen.

    • Official Post

    Hallo,


    siehe:


    woltlab.com/community/thread/291781/



    Merge Frontend and ACP sessions by TimWolla · Pull Request #3858 · WoltLab/WCF
    This pull request proposes a merge of the frontend and ACP session. This is beneficial for several reasons: It simplifies the code. The current diffstat of…
    github.com


    Es gibt AFAIK noch mehr Beiträge von mir zu diesem Thema.

  • Langsam falle ich echt vom Glauben ab. Komfort ist also wichtiger, als Sicherheit? Du wirst dir keinen Zacken aus der Krone brechen, wenn du dir den Pornomodus des Browsers zu Nutze machst, oder diese relativ neue Tab-Umgebungsfunktion vom Firefox.

  • Für mich ist das ein unnützes Spielzeug.


    Sicherheit als unnützes Spielzeug zu bezeichnen ist ja auch gewagt.


    Separate Anmeldung für Frontend und Backend, das wäre sicher für den Großteil der Nutzer dieses Scripts wichtiger, denk ich mal.


    Auf welchen Daten begründest du diese Annahme, dass das nicht nur für manchen, sondern gleich für einen Großteil der Nutzer wichtig wäre? Zumal die Frage nach dem vermeintlichen Vorteil immer noch unbeantwortet ist.

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

  • Es gibt AFAIK noch mehr Beiträge von mir zu diesem Thema.

    Schön. Du erklärst halt wieder und wieder, dass die beobachteten Auswirkungen durch diese unerwartete Änderung kommen, mein Vorschläge lautet hingegen, das bisherige Verhalten möglichst wiederherzustellen.

    1. It simplifies the code. The current diffstat of this PR removes roughly 100

      lines when ignoring whitespace changes. It would be more if ignoring the update

      scripts that are already added.

    Aha, das mag ja für den Entwickler alles viel einfacher machen, aber sollte es hier nicht eher das Ziel sein, den Login sicher zu gestalten, indem man konsequent Frontend und Backend unterscheidet, und eben gerade nicht die gleichen Mechanismen dafür verwendet?

    Aber nur weil jemand meinen zweiten Faktor kennt, so einen TOTP kann erstmal jeder ablesen, darf aber doch nicht der erste Faktor entfallen. :/

  • Schade, dass man keine Umfrage erstellen kann, mich würde es interessieren, wer diese Mehrfaktorauthentifizierung hier nutzt ;). Ein sicheres Passwort sollte doch reichen.

    Sollte das nun wegen der Gesetzeslage verändert worden sein, nehme ich alles zurück.

  • Schade, dass man keine Umfrage erstellen kann, mich würde es interessieren, wer diese Mehrfaktorauthentifizierung hier nutzt ;) .

    Und was bringt dir das Ergebnis? Am Ende weißt du nur wie viele auf die Sicherheit ihrer Community scheißen und dass man sich beim Großteil der Admins lieber nicht registrieren sollte.

    Ein sicheres Passwort sollte doch reichen.

    Nein eben nicht.

  • Ein sicheres Passwort sollte doch reichen.


    Genau und die Leute, die sich TOTP und WebAutn ausgedacht haben, hatten einfach zu viel Zeit, eine Lösung für ein Problem zu entwickeln, welches nach deiner Definition gar nicht existiert.


    Aber nur so am Rande: Mit PSD2 wurde eine gesetzliche Grundlage geschaffen, die Banken zur 2-Faktor-Authentifizierung zwingt. Das kam auch nicht von irgendwo her.

  • Und was bringt dir das Ergebnis? Am Ende weißt du nur wie viele auf die Sicherheit ihrer Community scheißen und dass man sich beim Großteil der Admins lieber nicht registrieren sollte.

    Also waren quasi alle von Woltlab entwickelten Produkte vor 5.4.2 unsicher? Auf die Sicherheit "scheiße" ich nicht, nur ist es doch so das diese Option niemand länger benutzt, mir geht das ja schon bei der Bank auf den Senkel ;) .

    Hanashi mal ernsthaft, nutzt du das für deinen Account hier oder bei dir?

    • Official Post

    Hallo,

    Aha, das mag ja für den Entwickler alles viel einfacher machen, aber sollte es hier nicht eher das Ziel sein, den Login sicher zu gestalten, indem man konsequent Frontend und Backend unterscheidet, und nicht die gleichen Mechanismen dafür verwendet?

    Code der nicht mehr existiert kann auch keine Bugs enthalten. Unabhängig davon hilft der Wegfall der Trennung auch der Sicherheit, weil Spezialfälle wegfallen. So muss der Code beispielsweise bei der Vernichtung bestehender Sitzungen bei Passwort-Änderung nicht berücksichtigen, dass es ACP-Sitzungen und Frontend-Sitzungen gibt und zuverlässig beide Arten löschen. Auch müssen etwaige Verbesserungen bei der Sicherheit nicht für ACP und Frontend separat umgesetzt werden (mit etwaigen Fehlerquellen für notwendige Anpassungen an die Umgebung).

    Hm, dabei wäre doch genau das hier entscheidend, nur weil jemand meinen zweiten Faktor kennt, so einen TOTP kann ja jeder ablesen, darf ihm noch lange nicht der erste Faktor vorausgefüllt werden.

    Zur Verwendung der Administrationsoberfläche ist in jedem Fall eine starke Authentifizierung auf Basis des Kennworts erforderlich [1]. Sofern die Sitzung eine Gastsitzung ist, ist, falls aktiviert, auch der zweite Faktor erforderlich. Wenn die Sitzung bereits eine Benutzersitzung ist, dann wurde das Gerät zu einem früheren Zeitpunkt bereits mit dem zweiten Faktor authentifiziert. Die Erleichterung besteht darin, dass der zweite Faktor nicht erforderlich ist, wenn das Gerät bekannt ist. Nicht darin, dass das Kennwort als starker erster Faktor entfällt. Der Zugriff auf das authentifizierte Gerät mit entsprechendem Sitzungs-Cookie ist ein zweiter Faktor („was du besitzt“).


    [1] Diese Authentifizierung wird sich, sofern nicht explizit zurückgezogen, für 2 Stunden in der Sitzung.

  • Also waren quasi alle von Woltlab entwickelten Produkte vor 5.4.2 unsicher?


    Das ist nicht der Punkt. Die Nutzung dieser neuen Funktionen ist und bleibt (bis zu einem entsprechenden Gesetz) optional und die Funktion ist nicht das Ergebnis unsicherer Vorversionen, sondern lediglich eine Möglichkeit, seinen Account im Bedarfsfall noch besser absichern zu können.


    Hanashi mal ernsthaft, nutzt du das für deinen Account hier oder bei dir?


    Tut er. Er hat ja auch den Vorgänger zur WoltLab'schen Implementierung entwickelt:


    2-Faktor-Authentisierung - WoltLab®


    Es bräuchte im Übrigen auch keine Umfrage. WoltLab könnte "mal eben" aus der Datenbank auslesen, wie viele Personen welche Zweifaktor-Authentifizierungsmethode verwenden.

  • mal ernsthaft, nutzt du das für deinen Account hier oder bei dir?

    Ja. Deswegen hatte ich für ältere Version bereits eine Umsetzung der 2FA gemacht und diese auch seit mehr als 3 Jahren benutzt. Ich nutze die Funktion auf jeder Webseite wo es diese gibt und ich registriert bin.

  • Also waren quasi alle von Woltlab entwickelten Produkte vor 5.4.2 unsicher?


    Nein. Es geht ja um die Absicherung deines Accounts. Wenn du das nicht nutzt, ist deswegen ja nicht die Software unsicherer. WoltLab stellt dir aber die Option bereit, dass du dein persönliches Benutzerkonto besser absicherst.


    mir geht das ja schon bei der Bank auf den Senkel ;) .


    Ganz ehrlich bin ich nirgends dankbarer für die Sicherung durch einen zweiten Faktor als bei meiner Bank. Ich meine… da liegt mein Geld? Wie könnte mich da nerven, dass meine finanzielle Existenz besser als nur durch ein Passwort geschützt ist? :/


    Hanashi mal ernsthaft, nutzt du das für deinen Account hier oder bei dir?


    Ich bin zwar nicht angesprochen, aber ich gebe ehrlich zu, dass ich diese Option noch nicht überall nutze, wo sie zur Verfügung steht. In meinen eigenen Foren ist das längst eingerichtet. Hier tatsächlich noch nicht. Aber das ist eine gute Erinnerung und ich werde das heute noch nachholen.


    Nachtrag: erledigt.

    "Wir finden Worte, die wie Geschosse treffen, wir leisten Schwüre, die niemals zerbrechen. Wir steh'n zusammen auch wenn man uns nicht mag, wir leben schneller, schneller in den Tag. Unsere Metaphern sind teuflische Ikonen, harte Aphorismen, gewagte Abstraktionen. Ein Strauß von Versen im Idiomenbeet, verbale Blüten wie es geschrieben steht."


    (Saltatio Mortis)

    Edited once, last by Cadeyrn ().

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!