nabend oxid’s,
falls das thema hier schon aufgetaucht möchte ich mich entschuldigen, ich habe es nicht gefunden…
-
mir ist immer unwohl admin bereiche auf den standardpfaden zu lassen - weiß jemand, was und wo umbenannt werden muss, damit ich den admin “weglegen” kann? stupides umbennen des admin ordners hat mich noch nicht weiter gebracht und für weiteres bin ich noch nicht tief genug im projekt. und da mir die community hier bisher so toll geholfen hat, dachte ich direkt fragen bevor ich suche.
-
gehe ich richtig in der annahme, daß die session lifetime für den admin in der
./core/oxconfig.php:387: $this->setConfigParam( ‘iDBCacheLifeTime’, 3600 ); // 1 hour
definiert wird? meines erachtens ist keine andere stelle mehr verantwortlich, zumindest per grep -R nicht findbar - habs wert hochsetzen noch nicht probiert. gerade erst auf die idee gekommen…
die auskommentierten zeilen dadrüber sind auch interessant:
/*
$iSessionTimeout = null;
if ( $this->isAdmin())
$iSessionTimeout = $this->getConfigParam( ‘iSessionTimeoutAdmin’ );
if ( !$this->isAdmin() || !$iSessionTimeout )
$iSessionTimeout = $this->getConfigParam( ‘iSessionTimeout’ );
if (!$iSessionTimeout)
$iSessionTimeout = 60;*/
was ja auch eine einstellung im admin bereich deutet… also gesucht und gefunden:
./out/admin/tpl/shop_system.tpl:353:<input type=text class=“txt” name=confstrs[iSessionTimeoutAdmin] value="[{$confstrs.iSessionTimeoutAdmin }]" [{ $readonly }]>
aber ich hab die einstellung im admin bereich nicht gefunden, gibts die oder bin ich wieder blind oder falschannahme?
danke,
n23
Hallo n23,
kann sein, dass der Session-Timeout gar nicht im Admin-Bereich steht, sondern fest und per default in der Datenbank eingetragen ist. Im Ernstfall einfach dort ändern.
Wenn Du den Admin-Ordner umbenennst, solltest Du zumindest auch die config.inc.php anpassen. Allerdings hab ich das auch noch nie probiert und weiß nicht, ob das reicht. Ansonsten: Setz doch einfach einen .htaccess-Schutz vor den Ordner…
Gruß
nabend marco,
du meinst eher die globale session lifetime von php oder? also, die änderung in der core/oxconfig.php nützt nicht, today trail and error
äh, und ja, config.inc.php anpassen, da hab ich schon mal von gelesen ABER welche variablen denn?
$this->sShopURL = null;
$this->sSSLShopURL = null;
$this->sAdminSSLURL = null;
damit wohl kaum… was mich grad mal wieder auf die grep -R idee brachte. hier und da, sind ein paar stellen zu finden, die interessant aussehen. werds mir für morgen nochmal vornehmen und berichten…
n23
[QUOTE=neuling23;11863]
äh, und ja, config.inc.php anpassen, da hab ich schon mal von gelesen ABER welche variablen denn?
$this->sShopURL = null;
$this->sSSLShopURL = null;
$this->sAdminSSLURL = null;
[/QUOTE]
Wenn Du Dir Deine config.inc.php auf Deine Festplatte lädst, sollten die o.g. Infos drinstehen. Dann findest Du sicher, was Du ändern musst.
scherzkeks - ist mir schon klar, daß die variablen gesetzt sein müssen und gefüllt anders aussehen, so blöde bin ich auch nicht, auch wenn ich schon blöde dinge als oxid einsteiger frage.
meines erachtens gibt es KEINE variablen oder getrennte config dateien, siehe osC und forks davon, für den admin bereich…
So jetzt möchte ich mich auch mal bei diesem Thema einklinken.
Bei manchen System ist es möglich, den Pfad zum Admin Login zu ändern. Um möglichen Angreifern weniger Angriffsfläche zu geben.
Ich dachte, dass das bei OXID auch praktikabel ist, jedoch habe ich das soeben bei noch keinem gesehen. Nahezu alle Agenturen schalten hier eine HTTP-Authendifizierung vor.
Bei Bruteforce-Attacken scheint es auf dieser Ebene keine wirkungsvollen Sicherheitsmechanismen zu geben. D.h. es ist in diesem Fall ein “Doppel-Passwort”.
Ich habe den Admin umbenennen können wenn ich in der .htaccess im Stammverzeichnis die beiden RewriteConds erweitere um z.B.
|\/alternativer_admin/\
, den Admin-Wert in der Config.inc anpasse
und den admin-Ordner in “alternativer_admin” umbenenne.
Auf den ersten Blick funktioniert das Backend wie gewohnt.
Meine Frage ist nun:
- Sind hier irgendwelche Folgeprobleme zu erwarten?
- Ist es schlimm wenn Diagnose-Werkzeuge wie oxchkversion.php oder andere System-Gesundheits-Diagnosen das nicht mehr finden?
- Oder gibt es einen eleganteren Weg, den Admin unter einem anderen Pfad erreichbar zu machen?
Danke schonmal vorab!