Admin-Routing-Kompatibilitätsmodus für Erweiterungen: Aktivieren oder Deaktivieren?

7

Ich habe gerade meinen Shop auf die neueste Magento CE 1.9.2.2-Softwareversion aktualisiert (nicht den Patch SUPEE-6788, ich habe das vollständige Kernupdate mit dem Magento Downloader durchgeführt).

Nach dem Update ging ich zu

System > Configuration > Advanced > Admin > Security

und fand die Admin routing compatibility mode for extensionsOption auf Aktivieren gesetzt werden .

Direkt unter dem Selektor "Aktivieren / Deaktivieren" befindet sich jedoch eine kurze Beschreibung

Durch Aktivieren dieser Einstellung wird das Risiko automatisierter Angriffe auf die Administratorfunktionen erhöht.

Admin-Routing-Kompatibilitätsmodus für Erweiterungen

Ich war mir nicht sicher, ob ich diese Einstellung ändern sollte oder nicht, also ging ich zur Magento-Website und dort steht

Um nicht standardmäßige Administrator-URLs vor automatisierten Angriffen zu schützen, muss der Patch durch Ändern des Routing-Kompatibilitätsmodus in der Konfiguration aktiviert werden. Verwenden Sie " Aktivieren Admin - Routing - Kompatibilitätsmodus" unter System> Configuration> Admin> Sicherheit.

Geben Sie hier die Bildbeschreibung ein

Die Leute bei Byte sagen

Deaktivieren Sie zur Erhöhung der Sicherheit den „Kompatibilitätsmodus“ hier:

System > Config > Admin > Security > Admin routing compatibility mode for extensions

Geben Sie hier die Bildbeschreibung ein

Anschließend wird ein Screenshot mit der Option im Aktivierungsmodus angezeigt .

Ich finde das alles sehr verwirrend, daher ist meine Frage, welcher Modus dieser Option die meiste Sicherheit bietet.

Sollte der Selektor nach dem Speichern der Konfiguration "Aktivieren" oder "Deaktivieren" anzeigen ?

Format
quelle
Wenn Sie sich immer noch fragen, ob der Patch funktioniert. Sie können dies auf magereport.com
khoekman
Eigentlich bin ich mir nicht sicher, ob magereport.com nach der obigen Einstellung suchen wird. Es sollte, weil es sonst ein falsches Sicherheitsgefühl geben könnte.
Khoekman

Antworten:

12

Ich denke, es ist ziemlich einfach, sich damit in ein falsches Sicherheitsgefühl zu wiegen.

Admin-Routing-Kompatibilitätsmodus für Erweiterungen: Aktiviert (= Standard)

Dies ist die Standardeinstellung nach dem Anwenden des Patches. Ihre Erweiterungen werden mit dieser Einstellung nicht beschädigt. Die Sicherheit ist jedoch begrenzt.

Admin-Routing-Kompatibilitätsmodus für Erweiterungen: Deaktiviert

Nur mit einem deaktivierten Kompatibilitätsmodus sind Sie auf der sicheren Seite. Wenn alle Ihre Erweiterungen aktualisiert wurden, um mit der neuen Art des Admin-Routings zu funktionieren, vergessen Sie nicht, diese Einstellung auf "deaktiviert" zu ändern.

Anna Völkl
quelle
4

Der Admin-Routing-Kompatibilitätsmodus funktioniert wie der Kompatibilitätsmodus in Internet Explorer.

Die Anwendung wird so heruntergestuft, dass sie wie eine ältere Version funktioniert, sodass die unsicheren Module funktionieren.

Wenn Sie alle Module so aktualisiert haben, dass sie im neuen Sicherheitsmodell ordnungsgemäß funktionieren, deaktivieren Sie den Admin-Routing-Kompatibilitätsmodus, um den Zugriff auf das Admin-Backend einzuschränken.

Es ist eines dieser Microsoft-Gruppenrichtlinienobjekte, bei denen Ja Nein bedeutet.

Durch Aktivieren dieser Einstellung wird das Risiko automatisierter Angriffe auf die Administratorfunktionen erhöht.

ist das gleiche wie

HINWEIS: Dieser Patch ist standardmäßig deaktiviert.

Mit anderen Worten : Das Deaktivieren unsichere Module läuft Magento kann von dem, was der Patch macht tut gepatcht Aktivieren Admin Routing - Kompatibilität.

Fiasko-Labore
quelle
Vielen Dank für Ihre Antwort. Um es klar zu machen: Wenn diese Option als "Deaktivieren" gespeichert wird, bietet sie eine bessere Sicherheit, kann jedoch Erweiterungen beschädigen, die unsicheres Administrator-Routing verwenden? Und können Sie Ihrer Antwort bitte einen Screenshot hinzufügen, in dem die bevorzugte Admin-Routing-Einstellung für maximale Sicherheit angezeigt wird?
ForMat