smisonline2smisonline2 MitgliedKommentare: 169 Danke erhalten: 1 Mitglied seit: November 2013 bearbeitet April 2014
Kann man die eigentlich ändern? Statt /backend was anderes?

Kommentare

  • creatorascreatoras MitgliedKommentare: 132 Danke erhalten: 24 Mitglied seit: Oktober 2013
    Als Standard ist da glaube nichts vorgesehen. Du könntest aber via .htaccess-Datei eine "Verschiebung" einrichten.
  • Patrick SchückerPatrick Schücker AdministratorKommentare: 947 Danke erhalten: 171 Mitglied seit: April 2012
    Hi,
    creatoras schrieb:
    Als Standard ist da glaube nichts vorgesehen. Du könntest aber via .htaccess-Datei eine "Verschiebung" einrichten.
    Das ist vielleicht möglich, aber ganz klar auf eigener Gefahr!
    So was wurde von uns auch nie getestet.

    Kurze Frage: Warum willst du den Aufruf ändern?

    Gruß
    Patrick Schücker
  • smisonline2smisonline2 MitgliedKommentare: 169 Danke erhalten: 1 Mitglied seit: November 2013
    Wäre doch interessant, um Angriffe zu verhindern. Wer Shopware kennt, der weiß wie er in den Adminbereich kommt. Wenn man das aber individuell ändern könnte,...
  • SebastianKlöpperSebastianKlöpper AdministratorKommentare: 7174 Danke erhalten: 1664 Mitglied seit: Juni 2010
    Hallo,

    naja - auch eine andere URL würde einer sicher rausbekommen, der einen Angriff vor hat.
    Um den Zugriff zu verhindern gibt es ja bereits einige Funktionen im Shopware Standard.

    Sichere, stark verschlüsselte Passwörter. Zudem werden Loginversuche protokolliert und dann der Benutzer komplett für bestimmte Zeit gesperrt, sodass ein Login mit dem User gar nicht mehr möglich ist.

    Den Aufruf generell zu verändern könnte große und unbekannte Auswirkungen haben oder die Funktionalität stören. Daher kann ich nur empfehlen das nicht durchzuführen.

    Sebastian
  • smisonline2smisonline2 MitgliedKommentare: 169 Danke erhalten: 1 Mitglied seit: November 2013
    Es wäre aber schon schwieriger und 95% der Pseudo Hackerkiddies wären damit abgefangen:)
  • creatorascreatoras MitgliedKommentare: 132 Danke erhalten: 24 Mitglied seit: Oktober 2013
    Eine .htaccess-Modifikation hat bei uns das /backend versteckt. Funktionale Störungen sind bisweilen ausgeblieben und das läuft natürlich ganz mutig auf eigene Gefahr ;)

    Mehr Sicherheit bringt die kleine Spielerei allerdings nicht, denn wer weiß wie :shopware: aufgebaut ist kommt auch sofort ans backend. Damit nicht jeder weiß was zum backend geroutet wird, müsstest du vermutlich den Shop auf links krempeln.

    Eine veränderbare Backend-Route gegen die 95% würde mir auch gefallen :thumbup: :)
  • EikeWarnekeEikeWarneke ModeratorKommentare: 2694 Danke erhalten: 555 Mitglied seit: Juni 2013
    smisonline2 schrieb:
    Es wäre aber schon schwieriger und 95% der Pseudo Hackerkiddies wären damit abgefangen:)
    Deine sogenannte "Hackerkiddies" scheitern bereits an den eingebauten Features von Shopware. Ein Profi würde gar nicht erst beim backend / beim Login Formular ansetzen.

    Fazit: absolut unnötig.

    Viele Grüße
  • smisonline2smisonline2 MitgliedKommentare: 169 Danke erhalten: 1 Mitglied seit: November 2013
    Ja klar:( Egal
  • HansSnopHansSnop MitgliedKommentare: 1 Danke erhalten: 0 Mitglied seit: Mai 2016
    Hallo,

    naja - auch eine andere URL würde einer sicher rausbekommen, der einen Angriff vor hat.
    Um den Zugriff zu verhindern gibt es ja bereits einige Funktionen im Shopware Standard.

    Sichere, stark verschlüsselte Passwörter. Zudem werden Loginversuche protokolliert und dann der Benutzer komplett für bestimmte Zeit gesperrt, sodass ein Login mit dem User gar nicht mehr möglich ist.

    Den Aufruf generell zu verändern könnte große und unbekannte Auswirkungen haben oder die Funktionalität stören. Daher kann ich nur empfehlen das nicht durchzuführen.

    Sebastian
    Hallo,
     
    das ist aus der Sicht von uns als Sicherheitsexperten kein guter Ansatz, denn
    1. wenn ich eine Firma bzw. Benutzer nerven will, dann logge ich mich 5x falsch ein und er (der Benutzer) kommt dann auch erstmal nicht mehr ins System. Wenig hilfreich diese Methode der Sperrung
    2. das Cachieren des Backendzuganges verhindert effektiv die meisten Angriffsversuche. Diese prüfen in fast allen Fällen zuerst, ob (in diesem Shop) die URL /backend eine passende Antwort liefert und starten dann ihren Angriff ... oder (um es nicht zu dramatisch zu machen) die Anmeldeversuche.
      PrestaShop hat da einen cleveren Ansatz durch Vergabe der "adminXYZ" URL, welche sich bei jeder Installation unterscheidet. Das hält nach unserer Erfahrung sehr viele Anfreiger grundlegend ab.
    3. Wenn (wie bei unserer Seite) die großen ShopWare-Verräter (Namen, Begriffe, etc.) nicht mehr zu finden sind, ist es vglw. schwer, das Shopsystem durch Crawler zu erkennen.

    Nicht zu vergessen: Weniger potentielle Angreifer = weniger sinnloser Traffic und weniger Arbeit für den WebServer = mehr Leistung für die wirklichen Kunden

    Fazit: Wenn der Crawler der "Angreifer" die URL nicht sofort und eindeutig als Shopware System erkennt, zieht er zur nächsten URL weiter. Und das ist effektiver Schutz der eigenen Domain: Die große Masse der Probleme weiterziehen zu lassen. Schon in allen Kriegen war immer eine Taktik bekannt und beliebt: Tarnen und verstecken, dass einen der Angreifer erst garnicht findet. Wenig Kraft und Energie für viel Schutz.

    Wäre mal eine Überlegung bei ShopWare wert, oder ?

    Grüße,
    Hans

     
  • konsikonsi MitgliedKommentare: 310 Danke erhalten: 3 Mitglied seit: April 2014

    Hallo, ich würde dieses Thema gerne nochmal für die 5er Version aufgreifen, gibt es hierzu denn eine Lösung?

  • HagenHagen MitgliedKommentare: 33 Danke erhalten: 0 Mitglied seit: August 2016

    Hallo,

    ich habe /backend/ per htaccess Passwortschutz zugemacht.
     

    Grüße,

    Hagen

  • marcuskreuschmarcuskreusch MitgliedKommentare: 51 Danke erhalten: 12 Mitglied seit: Juni 2015

    Hallo zusammen,

    nur kurz zur Info: Ich habe soeben ein Plugin veröffentlicht, das einen zusätzlichen HTTP Basic Auth Schutz für das gesamte Backend bietet und damit ein wirkungsvoller Schutz sein dürfte: http://store.shopware.com/detail/index/sArticle/164204

    Viele Grüße
    Marcus

  • alexanderkirkalexanderkirk MitgliedKommentare: 13 Danke erhalten: 2 Mitglied seit: Mai 2015

    Hallo! Ich habe für diese Anforderung ein Plugin entwickelt und im Store zur Verfügung gestellt. Mit dem Gutschein "alexa-maerz-2018" kann in diesem Monat noch einen Rabatt von 10% gesichert werden: Indivudelle Backend-URL

    Über ein ehrliches Feedback würde ich mich freuen.

  • sonicsonic MitgliedKommentare: 1906 Danke erhalten: 525 Mitglied seit: Januar 2014

    Großes Kino - für BUG-In Werbung gleich drei asbach uralte Themen ausgraben. Perfekter Einstieg im Forum Thumb-Up

Anmelden oder Registrieren, um zu kommentieren.