Fertigstellung webmail3000
Eingetragen von 1000 (764)am 07.07.2012 - 12:52 Uhr in
Ich suche einen Entwickler, der das sandbox Projekt webmail3000 gegen Geld fertigstellt. Bitte melden.
- Anmelden oder Registrieren um Kommentare zu schreiben
Eingetragen von 1000 (764)am 07.07.2012 - 12:52 Uhr in
Sicherheitsbedenken zu webmail3000
am 11.07.2012 - 22:07 Uhr
Hallo,
ich nehme an das folgende Sandbox-Project ist gemeint:
http://drupal.org/sandbox/kingbbq/1536578
Wenn ich mir allein die Installations-Anleitung anschaue, bei der dem Webserver administrative Rechte auf dem zugrunde liegenden System eingeräumt werden sollen, habe ich bei dem verwendeten Ansatz massive, grundlegende Sicherheitsbedenken. Ich empfehle als ersten Schritt das Konzept der Integration von Roundcube zu überarbeiten und dabei zunächst bei anderen Roundcube-Projekten auf drupal.org zu starten.
Viele Grüße,
Carsten Logemann
Was würde es kosten diese
am 11.07.2012 - 23:05 Uhr
Was würde es kosten diese Fehler zu beheben? Ich bin gerade dabei das webmail3000 Projekt extrem umzubauen. Viele zusätzlich features sind bereits hinzugefügt: Man kann nun im internen Bereich per Checkbox auswählen, ob man nach dem Login direkt in der Roundcube area umgeleitet werden soll. Die gesamte Login, Logout, Autologin,Password update Prozedur wurde bereits überarbeitet. Nach dem Löschen der Drupal User wird auch gleich das webmail Konto gelöscht und die Einträge in roundcube. Bei den Sicherheitsbedenken, weiss ich nicht genau wie man diese ausmerzen kann. Ist dies möglich bzw. was kann im worst case passieren?
Worstcase: Kriminelle Aktionen mit Deinem Server
am 11.07.2012 - 23:54 Uhr
Bei den Sicherheitsbedenken, weiss ich nicht genau wie man diese ausmerzen kann. Ist dies möglich bzw. was kann im worst case passieren?
Der Webserver sollte immer mit minimalen Rechten laufen und sollte noch nicht mal Schreibrechte in Bereichen haben, in denen dann wiederum PHP ausgeführt werden kann. Diese Sicherheit benötigt z.B. zwei Benutzer im System: Den Datei-Eigner z.B. der Drupal-Programm-Dateien und dem Webserver-Benutzer, der diese ausführt. Das lässt sich auch nicht bei jedem Hosting-Anbieter optimal konfigurieren.
Dem Webserver-Benutzer Sudo-Rechte zu geben wäre ein Jackpot für einen Angreifer, der es irgendwie schaffen würde, Kontrolle über diesen auszuüben.
Ich würde nach einer Lösung suchen, die indirekter operiert, wenn es keine sichere direkte Schnittstelle dafür gibt (die Roundcube vllt. hat). So könnte Drupal z.B. Daten in der Datenbank ablegen, die auf der anderen Seite von einem anderen Script aufgerufen wird, das dann die höheren Rechte bekommt, um Roundcube Befehle zu erteilen. Man braucht erstmal ein Konzept, das erfordert Recherche und Tests. Dies könnte allein schon ein paar Tage Aufwand kosten. Ein erstes Basis-Konzept auf jeden Fall schon mal ein paar Stunden. Wenn man dann weiß, was sinnvoll gemacht werden kann, dann kann man erst kalkulieren, was die Umsetzung an Aufwand und damit Kosten bedeutet.
Ich habe bereits begonnen das
am 12.07.2012 - 14:10 Uhr
Ich habe bereits begonnen das Project massiv umzubauen. Die ganze login/logout/autologin/autologout/password update Prozedur wird überarbeitet, dass sie komplett reibungslos funktioniert. Außderdem habe ich nun eine Funktion, die es dem Admin ermöglicht im internen Bereich auszuwählen, ob der User erst nach dem Klick auf den Link Webmail zur roundcube Oberfläche gelangen soll oder direkt nach dem Einloggen. Wenn dies alles fertig ist werde ich das überarbeitete Modul dem Entwickler von webmail3000 übergeben. Ein sichereres Konzept ist dann wohl der nächste Schritt, um dieses Modul fertigzustellen.