Web Services - welche Bedeutung? Welche können deaktiviert werden?

    Joomla Version
    4.2.9
    PHP Version
    PHP 8.1.x
    Hoster
    webspace4all
    Link (URL) zur Seite mit dem Problem
    www.angeln-lippe.de

    Mit den Webservices in J4 tue ich mich noch schwer. Fast 20 Plugins und mir ist die Notwendigkeit der Einzelnen für unsere Vereinsseite nicht ganz klar. In der Plugin-Beschreibung sthet ja jeweils nur "Stellt Routen ... bereit ..."

    Auf der (einsprachigen) Seite können sich keine Benutzer anmelden. Ich bin Superuser, Autor etc. in Personalunion.

    Zur Zeit sieht es im BE unter Plugins so aus (scheinbar Standard, habe nichts geändert):

    • API Authentifizierung – Web Services Basisauthentifizierung ist deaktiviert.
    • Alle anderen Plugins mit "Web Services" im Namen (auch "API Authentifizierung – Web Services Joomla Token") sind aktiviert.

    Zwei Fragen:

    1. Welche dieser Plugins würdet ihr definitiv deaktivieren? Try & error geht zwar sicher auch, mit Euren Tipps vielleicht schneller.
    2. Gibt es eine (deutsche) Info im Netz zum Nachlesen?

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Hallo Jörg,


    zu 1) War hier mal Thema:

    Beitrag
    RE: Wichtiges Sicherheitsupdate für J4 | 4.2.8
    Ich deaktiviere, neben mehreren anderen:

    (Quelltext, 24 Zeilen)

    […]

    Die Schwierigkeit "Was ist das überhaupt?" bleibt ja trotzdem und zieht die Installation in die Länge. Gerade für Menschen, die das das erste Mal machen, eine Qual. Ich PERSÖNLICH, weil ich o.g. Features bisher nur auf 1 Seite nutze, fände es besser, wen die erst mal gar nicht aktiviert sind. Umgekehrt ist es aber manchmal verwirrend, was man nun aktivieren muss, damit man bestimmte Features nutzen kann.

    Schwierig, irgendwie.…
    Re:Later


    Liebe Grüße

    Christine

    Danke Euch beiden erstmal.

    Im von christine2 geposteten Link wird geschrieben, dass deaktivierte Web Services da auch funktionieren.

    Ich mag eigentlich nicht auf einer Live-Seite mal so testweise rum-abschalten. Wird mir wohl ohne Doku nichts weiter übrigbleiben. (*)

    Einer der Service mach z. B. wohl das auf der Login-Seite ins BE (ja, htaccess-Schutz ist davor):

    Keine Ahnung, watt datt is. In der lokalen Installation vor dem Hochladen wird es nicht angezeigt. Ich brauche es jedenfalls nicht.


    (*)
    Schlimmsten- und doofstenfalls sperre ich mich aus dem Backend aus.

    Deshalb erstmal ein backup ziehen und dann an Euch die Frage:
    "In welcher DB-Tabelle kann ich ein irrtümlich deaktiviertes Plugin wieder aktivieren, wenn ich mal nicht ins BE komme?

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Zitat von hechtnetz

    Einer der Service mach z. B. wohl das auf der Login-Seite ins BE (ja, htaccess-Schutz ist davor):


    Hier noch ein Schwung:

    Authentifizierung mit WebAuthn in Joomla 4.2
    Joomla verfügt ab Version 4.2 über eine verbesserte Multi-Faktor-Authentifizierung. Lies hier, wie du die Authentifizierung mit WebAuthn einrichtest.
    www.mittwald.de


    Authentifizierung-LDAP wirst auch nicht brauchen (benutzen).


    Liebe Grüße

    Christine

    Nach einiger Leserei bin ich der Meinung, dass ich keins davon brauche:


    Nicht die API, da meine Seite ja nicht mit anderen Seiten kommunizieren soll.

    >> Die Verwendung des Joomla 4 API Webservice | Joomlainfo News & Infos

    Und ohne API machen IMHO die Plugins der entsprechenden Web Services keinen Sinn.


    JustMy2Cents

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Moin Jörg,

    ich habe auch auf allen migrierten Seiten die Web - Services disabled, sowie die beiden Plugins mit dem Namen Token drinnen.

    Web - Auth habe ich eingeschaltet, weil ich das auch nutze mit einem Yubikey (finde ich ganz praktisch).

    Es gab hier eine Diskussion, ob man diese Funktionalität ausschalten sollte oder nicht. Vor allem Nicholas ist Befürworter, diese Plugins eingeschaltet zu lassen, was er hier erklärt: The Joomla 4.2.8 security fix and why it's NOT the end of the world - Dionysopoulos.me

    Das Problem sehe ich jedoch auch: Solche Dinge sind natürlich schnell abgeschaltet, was ja auch im ersten Moment sinnvoll ist. Stichwort: Nutze nur das, was du wirklich brauchst! Aber wenn in ein, zwei Jahren eine neue Funktionalität in der Webseite mit einem neuen Plugin, Erweiterung etc. benötigt wird, und man bekommt den Kram nicht zu laufen, geht das große Gesuche los. Und häufig fällt einem das naheliegendste (irgendein abgeschaltetes Plugin) dann als letztes ein. Leute wie Nicholas, die fast 24/7 Support Arbeit machen können ein Lied davon singen.

    Ich habe alle meine Seiten Standardisiert. Jede Seite ist im Core, Erweiterung, Plugin. Modul und im File - Aufbau 100% gleich. Wenn ich also irgendwo Probleme habe, muss ich diese einmal lösen, was bei der Betreuung vieler Seiten ein echter Segen ist.

    WBR from DE-de

    "Hier könnte Ihre Werbung stehen"

    Ich dagegen folge der Phlosophie alles zu deaktivieren, was nicht benötigt wird. Erstens überschaubarere Menüs u.ä. Zweitens auch Performancegewinn, wenn Joomla sich um Dinge nicht kümmern muss, die gar nicht benötigt werden. Ein Erweiterungsprogrammierer muss darauf achten, ob Relevantes aktiviert ist und ggf. darauf hinweisen, wenn nicht.

    Hi, ich bin so alt, dass ich mich noch an die regen Diskussionen in den Newsgroups in den Neunzigern erinnere. Aus dieser Zeit stammt meine Einstellung: "Eine Software, die nicht aktiv ist | nicht da ist, kann schlecht angegriffen werden." In all den Jahren seit J2.5.8 bin ich nicht über den Status "interessierter Anwender" hinausgekommen. Joomla ist eines Hobby (die Angelseite und mein privates Gelaber), was ich mir gönne. Und Hobbys kosten Zeit, die ich mir mal nehme. Muss ja nicht meine Brötchen damit verdienen ...
    Bevor ich etwas abschalte (oder auch aktiviere) möchte ich nur verstehen, was ich da mache. Habe versucht Infos zu finden und denke, die Grundidee der Webservices verstanden zu haben.

    "Eine Software, die nicht aktiv ist | nicht da ist kann schlecht angegriffen werden." bedeutet hier für mich: deaktivieren.


    (OT Re:Later - die Angelseite hast Du vor ein paar Jahren beruflich mal auf dem OP-Tisch gehabt ... beer )

    ------------------------------------------------------------
    Gruß vom Jörg
    (Lehrer ist kein Beruf sondern eine Diagnose. oops )

    Gefällt mir 1