kostenloser Webspace werbefrei: lima-city


pregister sicher ?

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    gaminghighend

    gaminghighend hat kostenlosen Webspace.

    Hi Leute,
    da ich in einigen meiner Websiten pregister als Log in verwende, wollte ich euch mal fragen wie gut und sicher dieses Plugin nun wirklich ist.
    Ich hoffe ihr könnt mir darauf eine Antwort geben und mir ausserdem auch sagen ob die Daten welche bei pregister eingegeben werden auch verschlüsselt an den Server übertragen werden.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hallo gaminghighend,

    "pregister" sagt mir nichts.
    Gibt es dazu auch eine Webseite?

    Gruss Redberry
  4. Autor dieses Themas

    gaminghighend

    gaminghighend hat kostenlosen Webspace.

    dunkeltuten schrieb:
    Hallo gaminghighend,

    "pregister" sagt mir nichts.
    Gibt es dazu auch eine Webseite?

    Gruss Redberry


    Sorry da habe ich mich wohl vertippt, es heißt PieRegister, die Website dazu https://wordpress.org/plugins/pie-register/.
    Es wäre sehr nett wenn jemand etwas über die Sicherheit dieses Plugins berichten könnte.
  5. Hallo,

    PieRegister scheint mir, nach kurzem Einlesen, mäßig sicher zu sein.

    Um bestehende Sicherheitslücken zu schließen benötigen sie ziemlich lange:


    Pie Register 2.0.13 Privilege escalation

    16-10-2014: Discovered
    12-12-2014: Version 2.0.14 released, issue resolved


    siehe http://security.szurek.pl/pie-register-2013-privilege-escalation.html

    Allerdings ist WP ziemlich verbreitet, weshalb es sich auch für Angreifer lohnt dort und in den Plugins nach Lücken zu suchen. Deswegen ist sehr bekannte und weit verbreitete Software immer gefährdeter (analog: Wer schreibt schon für Linux-Desktops Schadsoftware wenn er auch Windows-Geräte angreifen kann?).


    Deine derzeitige Seite http://gaminghighend.lima-city.de/ ist nicht TLS-Verschlüsselt, daher wird auch nichts verschlüsselt übertragen. Die Web-Konsole von Firefox gibt daher auch die dafür vorgesehende Fehlermeldung aus:

    Passwort-Felder sind auf einer unsicheren (http://) Seite vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
    Passwort-Felder sind in einem Formular mit einer unsicheren (http://) Formular-Aktion vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.


    Mfg
    Arthur Dent

  6. Autor dieses Themas

    gaminghighend

    gaminghighend hat kostenlosen Webspace.

    ikatools schrieb:
    Hallo,

    PieRegister scheint mir, nach kurzem Einlesen, mäßig sicher zu sein.

    Um bestehende Sicherheitslücken zu schließen benötigen sie ziemlich lange:


    Pie Register 2.0.13 Privilege escalation

    16-10-2014: Discovered
    12-12-2014: Version 2.0.14 released, issue resolved


    siehe http://security.szurek.pl/pie-register-2013-privilege-escalation.html

    Allerdings ist WP ziemlich verbreitet, weshalb es sich auch für Angreifer lohnt dort und in den Plugins nach Lücken zu suchen. Deswegen ist sehr bekannte und weit verbreitete Software immer gefährdeter (analog: Wer schreibt schon für Linux-Desktops Schadsoftware wenn er auch Windows-Geräte angreifen kann?).


    Deine derzeitige Seite http://gaminghighend.lima-city.de/ ist nicht TLS-Verschlüsselt, daher wird auch nichts verschlüsselt übertragen. Die Web-Konsole von Firefox gibt daher auch die dafür vorgesehende Fehlermeldung aus:

    Passwort-Felder sind auf einer unsicheren (http://) Seite vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.
    Passwort-Felder sind in einem Formular mit einer unsicheren (http://) Formular-Aktion vorhanden. Dies ist ein Sicherheitsrisiko, durch das Zugangsdaten gestohlen werden können.


    Mfg
    Arthur Dent



    Müsste ich dann hierfür ein Zertifikat kaufen oder wie kann ich dieses Problem sonst noch lösen ?
  7. ja, damit z.B. Logindaten verschlüsselt werden brauchst du ein SSL-Zertifikat (dann wird die ganze Seite verschlüsselt und Firefox gibt dann auch in der Konsole Ruhe).

    Möchtest du nur z.B. die Logindaten vom Client verschlüsselt an den Server schicken kannst du auch mit OpenPGP.js (http://openpgpjs.org/) die Daten verschlüsseln und hier mit GnuPG (http://php.net/manual/en/book.gnupg.php) entschlüsseln (musst halt mal nachfragen ob sie diese PHP-Erweiterung hier installieren können/wollen)...

    [edit: Verlinkung]

    Beitrag zuletzt geändert: 4.3.2015 15:05:02 von ikatools
  8. Autor dieses Themas

    gaminghighend

    gaminghighend hat kostenlosen Webspace.

    ikatools schrieb:
    ja, damit z.B. Logindaten verschlüsselt werden brauchst du ein SSL-Zertifikat (dann wird die ganze Seite verschlüsselt und Firefox gibt dann auch in der Konsole Ruhe).

    Möchtest du nur z.B. die Logindaten vom Client verschlüsselt an den Server schicken kannst du auch mit OpenPGP.js (http://openpgpjs.org/) die Daten verschlüsseln und hier mit GnuPG (http://php.net/manual/en/book.gnupg.php) entschlüsseln (musst halt mal nachfragen ob sie diese PHP-Erweiterung hier installieren können/wollen)...

    [edit: Verlinkung]


    Geht das nicht auch mit Kostenlosen Zertifikaten, wie zum beispiel dieses: https://cert.startcom.org/?lang=de
    Kann ich das selber dann installieren oder muss da LimaCity etwas machen ?
  9. Ich habe hier im Verwaltungs-Panel keine Möglichkeit gefunden eigene SSL-Zertifikate zu importieren.
    Hat ja auch seinen Sinn, lima-city möchte ja seine eigenen Zertifikate verkaufen...

    PS: Diese PHP-Erweiterung brauchst du evtl. in Zukunft nicht unbedingt, es gibt auch reine PHP Implementationen, z.B. https://github.com/jasonhinkle/php-gpg, aber da fehlt momentan eben noch die Entschlüsselungsfunktion.
  10. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!