[closed] Pfad zum Benutzerkonto umbenennen

Mal kurz ganz andere Frage: Was genau ist an /benutzerkonto sicherer als an /user?

Ich könnte mir vorstellen, dass das schwierig wird, immerhin ist der Pfad /user durch das User-Modul fest registriert. Dein URL-Alias /benutzerkonto verweist ja im Grunde nur auf /user und stellt den Pfad anders dar.

Hi,

also da gibs besseres. Z.B. den Admin, bzw. User 1 oder wie der auch immer heissen mag, zu deaktivierne. Kann man via SQL ja aktiv / passiv schaflten. Denn ausser für Wartung und Installationsaufgaben braucht den kein Mensch...

Finde grad den Link nicht. Gibt aber ein paar Tuts um Drupal abzusichern. Denke das wäre ein sinvollerer Ansatz.

Hast du mehrere User oder nur ein paar? Wilslt du quasi damit die Anmelde-Seite "verbergen"? Oder was genau stellst du dir vor.

mfg Crusher

Guten Morgen Zusammen!

@exterior: Das war nur ein Beispiel. Die URL würde dann schon bedeutend anders lauten, weil ja, so wäre der Unterschied nicht wirklich gravierend.
Zu deinem zweiten Punkt: Ja, vollkommen richtig. Das hatte ich ja auch schon angemerkt und ist mir bewusst, deshalb hab ich ja nach einer evtl. Möglichkeit gefragt :)

Aber trotzdem Danke!

@Crusher: Fast. Ich möchte die Anmeldeseite in direkt verbergen, sondern viel mehr den Aufruf von /user "unterbinden". Ich möchte das die Anmeldeseite über eine - von mir definierte URL - aufrufbar ist und nicht über die Standardmechanik. Ich möchte einfach vermeiden das die Anmeldeseite - doch so vermeintlich einfach - aufgerufen werden kann, z.B. durch ausprobieren oder weil man gewisse CMS Eigenheiten kennt. Das bezieht sich natürlich vornehmlich auf User die es sich zur Passion gemacht haben Seiten bzw. Benutzerkonten zu hacken. Nur als kleine Randnotiz noch: Wir hatten genau einen solchen Fall schon bei zwei eShops die wir betreuen. Die URL zum Shop Backend (Standard) lautet grundsätzlich /admin. Nach einigen anderen Sicherheitsvorkehrungen und u.a. auch die Umbenennung der Backend URL konnten wir das weitestgehend unterbinden auch wenn ganz klar ist, dass man davor nie zu 100% geschützt ist, was mir natürlich auch klar ist. Es geht nur vornehmlich darum die Wahrscheinlichkeit etwas einzugrenzen :)

Hi,

genau das Thema gab es auch schon mal: Ein CMS quasi komplett verbergen zu wollen wird nie hin hauen! Es gibt genug Schlupflöcher. Dann müsstest du ja auch im Quelltext "drupal" u.a. Terme komplett raus löschen.

Denke es wäre sinnvoller, wenn du mal nach z.B. Captcha Absciherung, oder sowas wie max. fehlerhafte Logins in xyz Zeit suchst! Du bekommst doch auch alles gelogged. Richte meinetwegen bei fehlerhaften Login Mailbenachrichtigung ein. Dann siehst du zumindest ob du gerade gefährdeter bist, als zuvor.

Das Problem sitzt doch meist eh vor dem Rechner! Wär als Passwort "hallohallo" oder "palimpalim" nimmt, hat eh schon verloren. Sowas kann man aber ja durch Regeln was die Kennwort-Sicherheit angeht minimieren.

Am "user" rumzufrickeln kann ggf. nach hinten los gehen. Du solltest also eh erstmal in einer Kopie das Ganze durchtesten. Eine Möglichkeit wäre ggf. htaccess, die eine Weiterleitung bei Aufruf von "user" vollzieht. Du musst dir nur im klaren sein, dass du dich irgendwann ggf. selber bei sowas aussperrst.

Such doch erstmal in den vielen Modulen nach solchen, die Login absichern. Von einen "anonymen" CMS solltest du dich aber gleich verabschieden.

mfg Crusher

PS: finds grad nich mehr. Das einzige was wirklich mit dem "user" ist, ist die Gefahr dass es mit z.B. Nutzerseiten übschrieben wird, und man nicht ans login mehr ran kommt. Ist jetzt allerdings aussem Gedächtnisprotokoll. Meine im Online drupal Buch, etc. steht sowas.

Geht dabei aber nciht ums verbergen, sondern darum sich mit URLAliases, o.ä. nix zu verbauen!

Was ist mit dem Rules Modul? Ggf. dort IP check o.ä. einbauen. Denke man kann mit Rules und anderen Kombis schon viel erreichen. Wäre ggf. ein besseres Ansatz als quasi im drupal core rum zu schrauben!

Du musst dir ja auch vor Augen halten, wenn du dafür z.B. Core-Module anpassen musst, dass alles bei einem Update weg ist. Ggf. funktionieren dann sogar die Updates nicht mehr korrekt.

Mach also lieber eine Analyse. Also schau in die Protokolle nach der pot., Bedrohung. Und treff Vorkehrungen:
- Captcha
- max. fehlerhafte Logins
- IP-Block
- Login nur z.B. bestimmtem Uhrzeiten
etc. etc.

Hi,

ja, ich denke Du hast vollkommen Recht! Ich werde den Weg einschlagen und erst mal Analyse betreiben. Ich denk ich mach mir vielleicht auch zu sehr nen Kopf, wobei das nicht so einach abzuschalten ist wenn du wirklich mal "Opfer" warst und die Konsequenzen wieder geradebiegen musstest. Aber - Kopf auf Holz - wir gehen jetzt mal nicht vom Schlimmsten aus :) Ich werde mir deine Vorkehrungshinweise zu Herzen nehmen und dann sollte ich das Ding schon "save" sein :)

Herzlichen Dank für Deinen Support und die Hinweise

Schönen Abend und Viele Grüße,
Benny

Ich würde mir mal das Modul Login Security ansehen, es bietet u.a. Schutz gegen Bruteforce-Angriffe auf das Login-Formular.