Hallo zusammen,
wenn man den JtG Webserver (übrigens schöne Oberfläche jetzt!) startet, dann scheint die Eingabe des richtigen Passworts den Zugang zu den JtG Daten nicht sessionbezogen, sondern eine bestimmte Zeit lang freizuschalten.
Beispiel:
- Browser starten, URL eingeben: http://{DEINE_IP}:{PORT}/?SHOW_LOG=1
- Abfrage kommt -> alles ok!
- richtiges Passwort eintragen und bestätigen
- Browser schliessen
- Browser starten mit gleicher URL wie eben *)
- JtG LOG wird angezeigt !!! (das darf nicht sein!)
*) Hier kann man es auch von einem anderen Rechner im Internet probieren!
Es scheint also so zu sein, dass die Eingabe des richtigen Passworts die JtG Daten für eine bestimmte Zeit (welche?) freischaltet. Die Doku schweigt sich hier leider aus.
Ist das so gewollt oder kann das nicht geändert werden? Ist IMHO eine Sicherheitslücke, auch wenn es nicht so super sicherheitsrelevante Daten sind...
Gruß,
Thomas
Webserver ist nicht sicher!?
hi
hatte das Thema schonmal angesprochen - levi meinte das der Server nach login für ALLE (habs gerade getestet - neue IP; show_log funzt ohne Pass) direkten zugriffe ne gewisse Zeit offen ist ...
Sicherheitsrelavant nicht - aber jemand der böses will, kann dir so deine HD voll hauen
Einfach 24-48-96h ARD streamen - oder deine Lieblingsserie aus dem Timer killen - also alles sachen über die man sich garantiert ärgert.
Es gibt genug Kiddies in IRC-Chats die einen mit Portscans überhäufen und wennse was gefunden haben, dieses auch versuchen zu connecten - brauch nur einer bei sein der JtG kennt ... der ist dann drin ... (wenn sich der Besitzer vorher eingeloggt hatte)
Die Security könnte man ein WENIG steigern, indem man dem Webserver sagt: halt die Session für IP x.y.z.a für 5min auf - alle anderen IPs brauchen zwingend nen Passwort ... bisher ja für ALLE IPs offen - für x Minuten. - Ein Scriptkiddie muß hier erstmal deine IP bekommen (wenn man über nen Proxy geht zwar auch net das problem - aber die Kombination grenzt schon an 4-5 Richtige im Lotto)
Bis denne
Wulfman
hatte das Thema schonmal angesprochen - levi meinte das der Server nach login für ALLE (habs gerade getestet - neue IP; show_log funzt ohne Pass) direkten zugriffe ne gewisse Zeit offen ist ...
Sicherheitsrelavant nicht - aber jemand der böses will, kann dir so deine HD voll hauen
Einfach 24-48-96h ARD streamen - oder deine Lieblingsserie aus dem Timer killen - also alles sachen über die man sich garantiert ärgert.Es gibt genug Kiddies in IRC-Chats die einen mit Portscans überhäufen
und wennse was gefunden haben, dieses auch versuchen zu connecten - brauch nur einer bei sein der JtG kennt ... der ist dann drin ... (wenn sich der Besitzer vorher eingeloggt hatte)Die Security könnte man ein WENIG steigern, indem man dem Webserver sagt: halt die Session für IP x.y.z.a für 5min auf - alle anderen IPs brauchen zwingend nen Passwort ... bisher ja für ALLE IPs offen - für x Minuten. - Ein Scriptkiddie muß hier erstmal deine IP bekommen (wenn man über nen Proxy geht zwar auch net das problem - aber die Kombination grenzt schon an 4-5 Richtige im Lotto)
Bis denne
Wulfman
Hallo
man könnte doch die sache einfach mit einem SessionCookie lösen.
D.h. sobald sich der user erfolgreich eingeloggt hat wird ein cookie auf der platte erstellt. nur wenn das cookie auf der platte ist, kann man Änderung vornehmen. nachdem der browser geschlossen wird oder man sich ausloggt, wird dass cookie einfach automatisch gelöscht.
Viele Grüße
Lukas
man könnte doch die sache einfach mit einem SessionCookie lösen.
D.h. sobald sich der user erfolgreich eingeloggt hat wird ein cookie auf der platte erstellt. nur wenn das cookie auf der platte ist, kann man Änderung vornehmen. nachdem der browser geschlossen wird oder man sich ausloggt, wird dass cookie einfach automatisch gelöscht.
Viele Grüße
Lukas
NOKIA 2xI alexW Snapshot 05.02.2004
SAGEM 1xI alexW Snapshot 05.02.2004
Software: ProjectX, TMPGEnc DVD Author, Nero 6
Hardware: P4 1.3 GHz, 384 MB RAM, NEC 1300A (1.0A)
Streaming: JtG 0.7.1a, udrec 0.10i ES
Win XP Prof. SP1, .NET Framework 1.1
SAGEM 1xI alexW Snapshot 05.02.2004
Software: ProjectX, TMPGEnc DVD Author, Nero 6
Hardware: P4 1.3 GHz, 384 MB RAM, NEC 1300A (1.0A)
Streaming: JtG 0.7.1a, udrec 0.10i ES
Win XP Prof. SP1, .NET Framework 1.1
-
Kaligula
- Gelegenheits-Streamer
- Beiträge: 59
- Registriert: Di 06 Jan 2004, 13:53
- Wohnort: Bad Homburg
- Kontaktdaten:
Hallo,
wie wird der cookie gelöscht? Der Server bekommt leider nicht mitgeteilt, daß der Browser beendet wurde.
wie wird der cookie gelöscht? Der Server bekommt leider nicht mitgeteilt, daß der Browser beendet wurde.
Bis denne
Kaligula
Fernsehbox: Nokia 2xI JtG-Image Snapshot 21.04.04
Streambox:Phillips 2xI JtG-Image Snapshot 21.04.04
Streaming: JtG 0.7.2 mit udrec 0.12a
Authoring: ProjectX,cuttermaran,DVDlab,Nero
Wiedergabe:Sanyo PLV-Z1
Kaligula
Fernsehbox: Nokia 2xI JtG-Image Snapshot 21.04.04
Streambox:Phillips 2xI JtG-Image Snapshot 21.04.04
Streaming: JtG 0.7.2 mit udrec 0.12a
Authoring: ProjectX,cuttermaran,DVDlab,Nero
Wiedergabe:Sanyo PLV-Z1
Gibt keine Cookies. Wenn eine Minute nix passiert, läuft das Password aus.wie wird der cookie gelöscht?
Die Idee mit der IP ist aber umsetzbar, alles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll
SAGEM black 2xI aktuelles JtG Team Image
SAGEM grey 2xI aktuelles JtG Team Image
Software: Gentoo stage1, KDE 3.4
Hardware: P4-3 GHz@3,2, Asus P4P800E-Deluxe, GF-6800LE@400:850:16/6,2048 MB RAM, NEC 1300A (gepatcht)
Warum ich gegen SuSE bin
-----------------
SAGEM grey 2xI aktuelles JtG Team Image
Software: Gentoo stage1, KDE 3.4
Hardware: P4-3 GHz@3,2, Asus P4P800E-Deluxe, GF-6800LE@400:850:16/6,2048 MB RAM, NEC 1300A (gepatcht)
Warum ich gegen SuSE bin
-----------------
@Kaligula
@Levi
Cookies werden lokal gespeichert, d.h. wenn sich der browser schließt wird auch das cookie gelöschtwie wird der cookie gelöscht? Der Server bekommt leider nicht mitgeteilt, daß der Browser beendet wurde.
@Levi
hast rechtalles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll
NOKIA 2xI alexW Snapshot 05.02.2004
SAGEM 1xI alexW Snapshot 05.02.2004
Software: ProjectX, TMPGEnc DVD Author, Nero 6
Hardware: P4 1.3 GHz, 384 MB RAM, NEC 1300A (1.0A)
Streaming: JtG 0.7.1a, udrec 0.10i ES
Win XP Prof. SP1, .NET Framework 1.1
SAGEM 1xI alexW Snapshot 05.02.2004
Software: ProjectX, TMPGEnc DVD Author, Nero 6
Hardware: P4 1.3 GHz, 384 MB RAM, NEC 1300A (1.0A)
Streaming: JtG 0.7.1a, udrec 0.10i ES
Win XP Prof. SP1, .NET Framework 1.1
Schon klar, das mit der IP wäre ja auch ausreichend.Levithan hat geschrieben: Die Idee mit der IP ist aber umsetzbar, alles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll
Ich werde mich nochmal an meinen lokalen Apache machen. Da wird sich ja noch was in Punkto Authentifizierung für den JtG Bereich machen lassen. In einem VirtualServer habe ich nämlich das Root-Verzeichnis JtG mit dem lokalen JtG-Server gemapt. Das war notwendig, da Apache bei mir schon auf Port 80 läuft und auch nur dieser Port für HTTP Verbindungen in Frage kommt. Deshalb läuft JtG jetzt auf einem anderen, kann bei mir aber z.B. über http://127.0.0.1/JtG/ erreicht werden. Aber egal...
Gruß,
Thomas