Im Auslieferungszustand arbeitet das Content Management System „WebsiteBaker” in der Version 2.8.3 mit der Sicherheitseinstellung „SingleTab”, welche es unmöglich macht, mehrere Backend-Seiten zeitgleich in mehreren Tabs zu öffnen. Da das so mittelmäßig nervig ist, ist meine erste Maßnahme auf jeder neuen WebsiteBaker-Installation das Umschalten auf die Einstellung „Multi Tab” unter „Admin-Tools” → „SecureForm Switcher”. Versucht man anschließend jedoch im Google Chrome Seiten oder Einstellungen zu speichern, erhält man zuverlässig und reproduzierbar die vielsagende Meldung „Sicherheitsverletzung!! Zugriff verweigert!”. In diesem Artikel habe ich eine einfache Lösung für dieses Problem notiert.
Dieser Fehler im Sicherheitssystem von WebsiteBaker scheint sich irgendwann in einer Revision des 2.8.3-Versionszweiges eingeschlichen zu haben – zumindest ist mir das Problem vorher nie aufgefallen. Seit Mitte des letzten Jahres bekomme ich aber immer wieder mal Anrufe und E-Mails von Kollegen und Kunden, die Probleme haben ihre Seiten mit Google Chrome zu bearbeiten. Das Googeln dieser Fehlermeldung brachte etliche Foren-Posts mit gleicher Fehlerbeschreibung zutage aber leider keinen guten Lösungsansatz. Dabei ist die Lösung super simpel – allerdings habe ich sie auch nur durch Zufall entdeckt:
Zunächst einmal loggt man sich mit einem Browser, mit welchem das Problem NICHT auftritt, in das WebsiteBaker-Backend ein, wechselt dann nach „Admin-Tools” → „SecureForm Switcher” und deaktiviert dort in den „Multi Tab”-Einstellungen das „Fingerprinting”. Speichern, fertig.
Anschließend kann man auch mit Google Chrome wieder wie gewohnt das Backend ohne Fehlermeldung nutzen.
Warum dieses Problem auftritt, kann ich nur mutmaßen: Offenbar verhindert Google Chrome die Übermittelung von Daten, die für das Fingerprinting nötig sind. Eigentlich ist das ja cool, schließlich möchte man in aller Regel nicht unbedingt von einer Website wiedererkannt werden – das führt oft nur zu übermäßigen Werbeeinblendungen. In diesem Fall sorgt das aber vermutlich auch dafür, dass WebsiteBaker den Backend-Nutzer nicht mehr korrekt identifizieren kann. Denn um Session-Hijacking zu verhindern, verlässt sich WebsiteBaker nicht nur auf den Session-Cookie sondern versucht auch zusätzliche Merkmale des Nutzers (bzw. seines Browsers) zur Identifikation heran zu ziehen.
Das Abschalten des Fingerprinting höhlt also das Sicherheitssystem von WebsiteBaker ein Stück weit aus. Da es aber noch einige andere Sicherheitsmechanismen gibt, würde ich persönlich das als nicht all zu dramatisch einschätzen. Aber ich platziere hier trotzdem mal einen Disclaimer:
Hinweis: Das Abschalten des Fingerprinting verringert den Schutz des Backends gegen unbefugte Zugriffe und geschieht daher auf eigene Gefahr.
Update, 24.03.2015
Ich habe eben gesehen, dass es für dieses Problem inzwischen einen Fix gibt, der jedoch derzeit noch nicht in der aktuellen WebsiteBaker-Version enthalten ist. Will man also eine neue WebsiteBaker-Instanz aufsetzen, muss man zunächst die aktuelle Version installieren und dann den Fix einspielen. Letzterer ist auf der Downloadseite gaaanz weit unten zu finden, weswegen ich ihn bisher auch übersehen hatte.
D A N K E !
Die Fehlermeldung „Sicherheitsverletzung …“ hat mich hier in Spanien während einer längeren Reise erwischt. Konnte keine Texte mehr auf meinen verscshiedenen WB Seiten veröffentlichen. Gilt für alle Browser, nicht nur für Chrome. Nach Abschalten des „Fingerprints“ kann ich wieder Texte veröffentlichen.
Nochmals D A N K E für die Veröffentlichung des Tipps. Ich säße hier fernab aller IT Versierten noch lange auf dem Schlach.
MfG Reinhard