Nachtrag:
Sorry, dürfte sich erledigt haben, da der FTP-Layer wohl in Joomla 4 entfernt wurde. Die Felder in der configuration.php dürften nur noch der (Abwärts)Kompatibilität dienen oder Altlasten sein.
Nachtrag:
Sorry, dürfte sich erledigt haben, da der FTP-Layer wohl in Joomla 4 entfernt wurde. Die Felder in der configuration.php dürften nur noch der (Abwärts)Kompatibilität dienen oder Altlasten sein.
Moin Flotte
Vielen Dank, bei diesem Thema können wir definitiv nicht streiten. Habe irgendwann damit begonnen alle Accounts von Kunden (wo möglich) für mich mit einem zweiten Faktor (Yubikey) zu sichern. Selbst wenn meine Domains mal irgendwann nicht mehr sein sollten, kann niemand etwas damit anfangen. Und die Zugangsdaten für Hosting usw. liegen in einem verschlüsselten Container auf der eh verschlüsselten Festplatte.
Manche Kunden haben mir von sich aus Zugangsdaten auf die jeweilige Seite gesendet, die mit einem Postfach bei denen selbst verknüpft waren. Eine äußerst praktikable Möglichkeit muss ich sagen. Da ich normalerweise keine Passwörter zurücksetzen muss, stört es mich auch nicht. Sollte mein Account irgendwann deaktiviert werden, kann auch hier nichts passieren.
Das ich mich automatisch von den Hostern bei Kundenbelangen mit informieren lasse, kommt bei mir allerdings nicht vor. Klar, Zugangsdaten bekomme ich oft als Kopie wenn es Kunden bei der Bestellung explizit mit angegeben haben, aber danach nichts mehr. Würde mich auch stören wenn bei jedem Tarifwechsel oder jeder Speicherplatzüberschreibung mein Ticketsystem Alarm schlägt. ![]()
Gruß Jan
Nabend
Eine absurde Idee vom alten Mann. Ich hab eben nachgeschaut ob es den FTP-Layer in Joomla noch irgendwo gibt und bin zumindest in der configuration.php fündig geworden. Dort stehen auch bei einem Joomla 6 noch die Felder für die Konfiguration eben dieses Relikts aus der Vorzeit. In der grafischen Oberfläche selbst ist nichts zu finden.
public $ftp_enable = '0';
public $ftp_host = '';
public $ftp_pass = '';
public $ftp_port = '21';
public $ftp_root = '';
public $ftp_user = '';
Mutige Zeitgenossen könnten diese Felder mit passenden Werten füllen und schauen ob das eventuell noch funktioniert...
Gruß Jan
Moin
Um das hier nicht offen stehen zu lassen, der Grund für meine Suche nach ihm ist hier zu finden...
Gruß Jan
Moin
Vor einiger Zeit hatte ich nach dem Verbleib von Chris (Joomla Notdienst) gefragt, konnte jedoch leider keinen direkten Kontakt herstellen. Zwar scheint das Gewerbe noch zu existieren, allerdings habe ich keine Möglichkeit gefunden, vorab mit ihm zu sprechen.
Der Grund für meine Suche war ein gravierendes Problem im Zusammenhang mit von ihm genutzten Accounts. Dabei geht es ausdrücklich nicht um Nachlässigkeit oder ein persönliches Fehlverhalten, sondern um ein generelles Sicherheitsrisiko durch verwaiste Super-User-Accounts.
Bei meinen Kunden bin ich wiederholt auf Accounts von Chris gestoßen – stets mit identischem Benutzernamen und derselben verknüpften E-Mail-Adresse. Irgendwann fiel mir auf, dass die von Chris genutzten Domains nicht mehr registriert waren. Daraus ergab sich eine unschöne Erkenntnis, was damit theoretisch möglich gewesen wäre.
Kurzfassung:
Jeder hätte diese Domains neu registrieren, die zugehörigen Postfächer anlegen und darüber Passwort-Resets für die verknüpften Joomla-Seiten durchführen können – und hätte damit valide Super-User-Zugänge einer vertrauenswürdigen Person erhalten. Ganz ohne Hack, ohne technisches Spezialwissen und ohne nennenswerten Aufwand.
Da Chris über viele Jahre aktiv war, dürfte es sich um mehrere hundert betroffene Kunden handeln. Im Rahmen meiner Recherche bin ich zudem auf eine Agentur gestoßen, die allein z.B. über 1.000 Joomla-Installationen betreut und bei der er regelmäßig als Dienstleister tätig war.
Wie gesagt: Dieses Problem ist nicht auf Chris beschränkt, es ist mir dort lediglich erstmals aufgefallen. Ich habe SniperSister in diesem Zusammenhang darauf angesprochen und angeregt, in Joomla eine Funktion zu schaffen, die zusätzlich angelegte Super-User- bzw. Administrator-Accounts ohne Zwei-Faktor-Authentifizierung nach einem Jahr Inaktivität automatisch deaktiviert – beispielsweise über eine neue „Geplante Aufgabe“, die per Update ausgeliefert werden könnte. Das von mir skizzierte Szenario wurde jedoch offenbar nicht als ausreichend kritisch eingeschätzt.
Als Sofortmaßnahme habe ich die Domain joomla-notdienst.de zunächst selbst registriert, um die Möglichkeit von Passwort-Resets zu unterbinden. Da ich die Domain jedoch nicht dauerhaft behalten möchte, werde ich sie nach Ablauf (voraussichtlich im September dieses Jahres) wieder freigeben.
Meine Bitte an Euch ist daher, auf den von Euch betreuten Seiten gezielt nach einem Account von Chris zu suchen, die jeweiligen Seitenbetreiber zu informieren und den Account zu entfernen bzw. zu löschen. (Benutzername "Joomla Notdienst" oder "Amarok", eMail endet auf @joomla-notdienst.de)
Mit der Information an Euch sowie an David (inklusive eines möglichen Lösungsvorschlags) und der temporären Registrierung der potenziellen „Tatwaffe“ als Notmaßnahme sehe ich meinen Teil in dieser Angelegenheit als erledigt an.
Ich hoffe Chris geht es gut und wir bekommen von ihm eventuell doch noch ein kleines Lebenszeichen.
Gruß Jan
PS: Genau genommen betrifft dieses Problem alle CMS, bei denen externe Dienstleister tätig sind, die ihre Arbeit irgendwann einstellen oder nicht mehr erreichbar sind.
Moin
Und im Hinblick auf das Öffnen des Menüs steht das hier in der Dokumentation...
ZitatUse following syntax to open Cookies settings dialog:
Additional data-cc attributes could be used for following actions:
- accept-all: accept all categories
- accept-necessary: accept only categories marked as necessary/readonly (reject all)
- accept-custom: accept currently selected categories inside the settings modal
Quelle: https://n3t-cookie-consent.readthedocs.io/en/latest/usage/configlink/
Moin
Hast Du eventuell einen Verzeichnisschutz vor dem Backend oder der Seite insgesamt? Oder die IP-Bereiche ganzer Länder über die htaccess gesperrt? Das Update wird von extern über die Server von Joomla.org angeschoben und hierfür muss die Seite entsprechend erreichbar sein.
Gruß Jan
Ihr könnt Euch alle wieder entspannen. Ich habe mit dem Laden auch nichts zu tun, aber wie gesagt sind die ersten 3 Templates auf deren Übersicht bereits mit Joomla 6 kompatibel, und die Tatsache das alle "alten" bis ganz runter zur Seite, auf Joomla 5 gezogen wurden, lässt mich stark vermuten, dass die anderen wohl auch folgen werden. Immerhin wird der Entwickler mehr als nur die ersten 3 verkaufen wollen...
Auf ein paar wenigen Projekten hab ich auch einzelne Bestandteile die noch nicht mit Joomla 6 kompatibel sind. Ist absehbar das dort nichts mehr kommt, schaue ich mich für die jeweiligen Kunden nach praktikablen Alternativen um. Aber so lange Joomla 6 optional ist, lohnt es sich nicht in Aktionismus zu verfallen.
PS: Falls jemand Zugang zu den Templates dort hat, könnte er sich von einem Design sowohl die Variante für Joomla 5, als auch für 6 ziehen. Lokal entpacken und dann einen Diff über die Dateien laufen lassen, um zu schauen, wie groß die Anpassungen sind.
Macht was Ihr wollt, Ich hole jetzt Brennholz und rolle dann das Bärenfell aus...
Was nützt das, wenn es mit J6 nicht kompatibel ist?
Vielleicht einfach mal ein wenig abwarten? Die ersten drei Templates in der Liste sind doch schon mit Joomla 6 kompatibel und ich könnte verstehen das sich die Entwickler Stück für Stück vorarbeiten. Gibt doch aktuell keinen Druck auf Joomla 6 wechseln zu müssen?
Moin
Wenn Du für die jeweilige Domain die Single-Lizenz für schmale 20 Euro gekauft hast, dann hast Du doch lebenslange Updates inklusive!?
Gruß Jan
Ich habe noch keine anderen Probleme feststellen können, aber habe ja schon in #26 geschrieben, dass ich wohl besser neu aufbaue. Interessieren tut es mich trotzdem, ob der Fehler zu finden ist. Wird man ja nicht dümmer durch.
Sollte es an diesem Wert liegen, würde das Problem auch bei jedem anderen frisch installierten Joomla wieder auftreten. Bei mir auf dem Server kann ich ihn nicht einfach so ändern, sonst hätte ich es schon selbst getestet. Aber vielleicht hast Du ja die Möglichkeit mal schnell auf einer Subdomain ein neues Joomla aufzusetzen und zu schauen ob es dort funktioniert?
Sehr unwahrscheinlich, dass nur das Speichern des Templates Probleme macht ... aber, wer weiß ...
Das ich Weihnachten vor einem Kamin verbringe... nackt... auf einem Bärenfell.... DAS ist unwahrscheinlich Fräulein Menzel.
Aber ja, eigentlich sollte es dann auch beim Speichern von längeren Artikeln oder anderen Konfiguration Probleme geben.
Eventuell könnte noch eine Regel in Mod_Security anspringen und den Vorgang abbrechen. Also wenn der Hoster eine Application-Firewall laufen hat. Sollte aber eine Meldung in den Protokollen geben.
Moin
Was für eine Sitzungsdauer hast Du denn in Deiner Joomla-Konfiguration unter "System" eingetragen? Wenn da ein utopisch hoher Wert steht, laufen die Sessions natürlich nie ab und die Datenbank müllt sich zu...
Nachtrag: Es gab da auch mal ein Plugin oder Modul mit dem Namen "Remember Me" wenn ich mich recht entsinne, das die Session auch ewig halten konnte. Eventuell auch eine Fehlerquelle. Aber ich tippe eher auf sehr lange Session-Laufzeiten.
Gruß Jan
Der Wert steht auf 1000
Dieser Wert erscheint mit sehr gering. Soweit ich mich erinnern kann sollte die max_input_vars am besten auf 8000 oder höher stehen. Bei mir sind es beispielsweise 20.000. Gut möglich das dies bereits Deine Fehlerquelle ist.
Funktionieren denn die Links wenn Du über das Menü in der Seitenleiste unter Komponenten und dann JComment gehst? Wie sehen die Links ab der "index.php?option=com_" usw. auf der alten Seite aus?
Bei den kommerziellen Erweiterungen ist es oft nicht nicht einfach zu helfen, so lange nicht zufällig andere Mitglieder sie hier ebenfalls verwenden.
Moin
In Deinem Bildschirmfoto wird angezeigt dass es 13 Nachinstallationshinweise gibt. Hast Du die vorgesehenen Änderungen an der htaccess vorgenommen, die die neuen Joomla mit sich bringen? Im Zweifel kannst Du auch einfach eine mitgelieferte htaccess aus einem 5.4.1 Paket nehmen und mit Deiner austauschen. Auch würde ich testweise alle selbst angelegten Umleitungen unter dem Punkt "System" --> "Weiterleitungen" entfernen.
Gruß Jan