NoSpamProxy Forum
Web Portal Sicherheit - Druckversion

+- NoSpamProxy Forum (https://forum.nospamproxy.com)
+-- Forum: NoSpamProxy Server (https://forum.nospamproxy.com/forumdisplay.php?fid=1)
+--- Forum: LargeFiles (https://forum.nospamproxy.com/forumdisplay.php?fid=5)
+--- Thema: Web Portal Sicherheit (/showthread.php?tid=271)



Web Portal Sicherheit - SBW - 17.08.2020

Hallo NSP Team,
in der NSP Mangement Konsole gibt es unter Troubleshooting den Bereich Web Portal Sicherheit.

Nach der Aktualisierung von NSP ändert sich der Status aller Einträge von "Alles in Ordnung" auf "Berechtigung falsch" (den genauen Ausdruck habe ich nicht mehr Kopf). Das eine oder andere Mal habe ich anfangs vergessen die Sicherheitsschlüssel zu berichtigen. Konnte aber auch keine Fehlfunktion feststellen.

Das selbe Verhalten haben wir heute festgestellt, nachdem wir (NSP Support und Ich) die eingetragenen Webportal Server nacheinander gelöscht und wieder hinzugefügt haben. Beim ersten Server blieb der Status unverändert. Bei den weiteren Servern musste wieder der Sicherheitsschlüssel berichtigt werden.

Für welchen Zweck gibt es die Funktion und was hat es damit auf sich?


Gruß
Daniel

P.S. Ihr vergesst wohl ab und zu auch die Sicherheitsschlüssel zu berichtigen. Big Grin


RE: Web Portal Sicherheit - SBW - 02.11.2020

*push*


RE: Web Portal Sicherheit - JanJäschke - 03.11.2020

Hallo Daniel,

dieses Thema geht technisch etwas tiefer aber ich versuche es mal etwas einfacher darzustellen.
In einer ganz normalen Umgebung stellt eine Abweichung der Schlüssel kein Problem dar.

Bei einer Upload Anfrage gegen das WebPortal kommt es immer zu zwei Requests, ein GET und ein POST.
Wenn nun z.B. ein Loadbalancer genutzt wird der keine sticky sessions verwendet würde wahrscheinlich der GET bei Portal A Landen und der POST bei Portal B.
In genau diesem Fall kann es dann zu Problemen kommen, da Portal B aufgrund der unterschiedlichen Schlüssel eine von Portal A aufgetragene Signatur nicht mehr entfernen kann.

Wenn es hier zu Problemen kommt sollte der NSP sich auch bemerkbar machen, andernfalls ist die Abweichung nicht wirklich schlimm.

In unserer Planung ist auch vorgesehen diesen Ablauf deutlich zu verbessern Smile


Gruß
Jan


RE: Web Portal Sicherheit - SBW - 07.11.2020

Hallo Jan,
wir nutzen natürlich einen Load Balancer bei uns. Dazu hat mir Stefan vor geraumer Zeit das OK gegeben.
Es ist natürlich auch im Interesse des Kunden, dass keine Request dem NSP untergeschoben werden kann. Ich habe mir das auch per Wireshark einmal angesehen.

Was ich nicht verstehe, warum bei der Aktualisierung einer bestehenden Installation, sowohl NSP als auch Webportal, der Sicherheitsschlüssel geändert oder ungültig wird?!


Gruß,
Daniel


RE: Web Portal Sicherheit - SBW - 22.11.2020

*push*


RE: Web Portal Sicherheit - StefanCink - 23.11.2020

Hallo Daniel,
bei Update überschreibt das Setup die entsprechende config-Datei des Web Portals und damit wird der Schlüssel ungültig. Mit der jetzigen Web Portal-Technologie können wir das leider nicht ändern. :-(
Gruß Stefan