Die Sache mit dem FTP_Passwort

Allgemeine Fragen
stobi_de
Moderator
Moderator
Beiträge: 909
Registriert: Di 11. Okt 2022, 06:30

Die Sache mit dem FTP_Passwort

Ungelesener Beitrag von stobi_de »

(es geht um das Thema, dass das FTP-Passwort in einer JSON-Datei steht, was im Mobi Forum durchdiskutiert wird.)
Hi Tommy,
ich frage mal hier weiter, weil im anderen Forum dieser Mensch aus Bremen sich da eingemischt hat und ich nie etwas schreibe, wo er auch seinen Senf dazu gibt.
Wo ist das Problem an der Sache?
Die json - Datei liegt im Projektverzeichnis und wird niemals publiziert.
Wer das Ding mit FTP auf den Server spielt ist doch selbst schuld. Kann auch ein Foto seiner Kreditkarte ins Netz stellen - genauso warscheinlich.
Und mit Mobi publizieren - nee, niemals nicht!
ich hatte jetzt den Effekt: ich habe nochmal in einem Projekt das FTP ausprobiert und dann an dem Medientechniker gearbeitet, den ich bislang noch nicht publiziert hatte (nichts lokales und nichts entferntes eingestellt). Und siehe da, in diesem Projekt waren als Default die Publikationsdaten vom Vorgängerprojekt eingestellt - ganz übel, wenn man da mal nen schlechten hirnlosen Tag hat...
Ist auch schon gemeldet.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 6370
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Die Sache mit dem FTP_Passwort

Ungelesener Beitrag von Tommy Herrmann »

Moin,

ich habe versucht, das in meinem Video darzustellen. Bei Video-Position 2:42 kannst Du die von Mobirise automatisch angelegte Datei "publish-hashes.json" auch sehen, und zwar in diesem AppData Verzeichnis:

C:\Users\User-Name\AppData\Local\Mobirise.com\Mobirise\projects\project.xxx...



Die Datei "publish-hashes.json" wird dann tatsächlich auch in das Verzeichnis der lokalen Publizierung eingefügt, nachdem man die Projekt-Datei in ein solches Verzeichnis importiert hat. Das geschieht auch, wenn man beispielsweise die Daten vom Server auf den Computer kopiert, um das Projekt dann von dort erneut zu importieren - zum Beispiel nach einem Computer-Crash.

Allerdings passiert das natürlich nur, wenn man in der Software FTP-Daten zum Server eingetragen hat, also im "FTP Manager" für die "Entfernte Publizierung" mittels Mobirise. Andernfalls kann dieses Problem natürlich erst gar nicht auftreten.

https://www.mobirise-tutorials.com/Publ ... l#Entfernt

sftp-Einstellungen.jpg


Es geht hierbei, wie vom Autor des Beitrags `critical security breach` angesprochen, auch nicht um das Verzeichnis der lokalen Publizierung, sondern vielmehr um die Tatsache, dass Mobirise die FTP-Daten mit Passwort in Klartext speichert. Dies stellt ein Sicherheitsrisiko dar, da jeder, der Zugang zu dem Computer hat, diese Informationen ausnutzen könnte – einschließlich potenzieller Schadprogramme.

Zusätzlich ist das Risiko dann sehr groß, dass Leute diese Datei "publish-hashes.json" versehentlich mit ihrem FTP-Programm (wie z.B.: FileZilla) auch noch auf den Server kopieren, wenn diese nach einem Import eben auch im lokalen Verzeichnis der lokalen Publizierung von Mobirise landen sollte, wo sie dann von jedem Hacker gelesen werden kann.

Wie der Autor des Beitrags im Hersteller-Forum bereits erwähnt, handelt es sich auch meiner Meinung nach um einen "kritischen Sicherheitsverstoß" (critical security breach) von Mobirise. Genau da liegt das Problem, auch ich hätte so eine Nachlässigkeit von Mobirise nie vermutet.

Wenn du und viele andere immer nur mit FileZilla publizieren und keine FTP-Daten in Mobirise hinterlegt habt, kann das nicht passieren. Ich hingegen publiziere ausschließlich über Mobirise, da ich mich damit gut auskenne und mir dabei keine Fehler unterlaufen.

Ich bin überzeugt, dass der Großteil der Mobirise-Nutzer ähnlich verfährt und nicht über FileZilla arbeitet, ähnlich wie es früher bei NOF der Fall war, wo über 80 % der Benutzer so vorgegangen sind. da hatten wir mal eine Umfrage gemacht und es wurde auch aufgrund vor Erhebungen des Firmeninhabers Steve Raubenstein bestätigt. Nicht umsonst haben wir nun hier im Forum ständig Nachfragen, warum ihre FTP-Publizierung mittels NOF nicht mehr funktioniert.

Genau dort liegt dann eben auch das Problem, da alle diese Leute ins offene Messer rennen können.

Fazit:

Unabhängig davon, wie jemand seine Daten auf den Server überträgt oder welche Vorlieben er hat, spielt das alles keine Rolle. Entscheidend und unerlässlich ist der Schutz persönlicher Daten in einer Software.
Antworten

Wer ist online?

Mitglieder in diesem Forum: Google [Bot] und 4 Gäste