[Laravel] Security

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 16:11 . Reden: Leeg ivm privacy ]

[ Voor 8% gewijzigd door BladeSlayer1000 op 06-12-2018 10:14 ]

[ Voor 10% gewijzigd door reb3lzrr op 06-12-2018 10:25 ]

Dit was natuurlijk op een split second terwijl ik aan het testen was op mijn server... Anders staat mijn website gewoon in public mode.

PieterjanDC schreef op donderdag 6 december 2018 @ 10:37:
Wachtwoorden zijn ge-bcrypt dus dat is alvast geen probleem.

PieterjanDC schreef op donderdag 6 december 2018 @ 10:37:
Email adressen staan gewoon in plaintext en dus ja... Ik wil echt verantwoordelijkheid nemen en zal dit dus zeker melden aan het punt dat je vermeld hebt.

[ Voor 49% gewijzigd door reb3lzrr op 06-12-2018 10:52 ]

reb3lzrr schreef op donderdag 6 december 2018 @ 10:46:
[...]

Alleen bcrypt vertelt me niks over de salt; een goede indicatie is om te kijken of er ook een salt staat opgeslagen in de 'user/gebruiker' tabel.

Stoelpoot schreef op donderdag 6 december 2018 @ 10:51:
[...]


Niet In PHP. PHP kent van zichzelf hashing-functies, die de salt, de hash en het hash-algo opslaan als composiete string-waarde. Als BCrypt wordt gebruikt, is er een goede kans dat de PHP hashing-functies zijn gebruikt.

[ Voor 22% gewijzigd door ThomasG op 06-12-2018 11:23 ]

418O2 schreef op donderdag 6 december 2018 @ 10:07:
Je kan toch testen op je lokale machine als je geen testomgeving kan betalen?

"Gevoelige" informatie in foutmeldingen in een dev env is niet zo raar

rutgerw schreef op donderdag 6 december 2018 @ 12:30:
Over het melden van data lekken: Dat hoeft toch alleen als er een persoonsgegeven gelekt is? Dus dan moeten die persoonsgegevens wel gelekt zijn.

Het feit dat een database wachtwoord bekend is wil nog niet zeggen dat iemand toegang heeft tot die database. Normaal gesproken hangt een database server achter een firewall of op een server die niet rechtstreeks te benaderen is.

NMe schreef op donderdag 6 december 2018 @ 11:49:
[...]

Gevoelige informatie is tot daaraan toe maar wachtwoorden erin gaan zetten is ronduit debiel. Die zijn echt niet relevant als debuginformatie en hebben niks op zo'n pagina te zoeken. Het is zeker niet handig van OP om zijn productieserver in debug-modus te zetten maar tegelijkertijd is het Laravel IMO zéker aan te rekenen als het dit soort waardes gewoon afdrukt.

NMe schreef op donderdag 6 december 2018 @ 11:49:
[...]

Gevoelige informatie is tot daaraan toe maar wachtwoorden erin gaan zetten is ronduit debiel. Die zijn echt niet relevant als debuginformatie en hebben niks op zo'n pagina te zoeken. Het is zeker niet handig van OP om zijn productieserver in debug-modus te zetten maar tegelijkertijd is het Laravel IMO zéker aan te rekenen als het dit soort waardes gewoon afdrukt.

[ Voor 0% gewijzigd door Qoncritter op 06-12-2018 13:34 . Reden: Typo ]

Koozza schreef op donderdag 6 december 2018 @ 13:28:
Als ik het goed heb is het niet laravel die deze gegevens print. Dit is een package: https://github.com/filp/whoops die standaard met elke laravel installatie komt.

Qoncritter schreef op donderdag 6 december 2018 @ 13:34:
[...]

Ik snap je punt maar wat er ook nog bij komt is dat Whoops standaard in de dev-dependencies staan. Dus is er al een verkeerde composer install gedraaid. Je moet namelijk "composer install --no-dev" draaien op je productie server of build tool.

[ Voor 120% gewijzigd door Verwijderd op 19-10-2019 16:11 . Reden: Leeg ivm privacy ]

pottink schreef op donderdag 6 december 2018 @ 22:28:
Staat de debug flag wel op false in je .env file? Deze moet in productie gewoon op false staan en dan krijg je toch die gedetailleerde foutmeldingen niet?

NMe schreef op donderdag 6 december 2018 @ 14:43:
[...]

Als het standaard in Laravel zit heeft het Laravel-team er bewust voor gekozen en is het dus "verantwoordelijk" voor het feit dat er gevoelige info in dit scherm terecht komt.

[...]

Klopt als een bus maar óók op de dev-omgeving is het ronduit achterlijk om wachtwoorden af te lopen drukken in je errormeldingen.

When an exception is uncaught and the APP_DEBUG environment variable is true, the debug page will show all environment variables and their contents. In some cases you may want to obscure certain variables. You may do this by updating the debug_blacklist option in your config/app.php configuration file.

Koozza schreef op donderdag 6 december 2018 @ 13:28:
@PieterjanDC Let er even op dat als je App in test mode staat dat de gehele .env file getoond wordt op een whoops melding. Daarin staat ook je App key die gebruikt wordt voor het hashen. Die zou ik dus ook zeker aanpassen. Let wel op dat dan je wachtwoorden niet meer werken.

Barryvdh schreef op vrijdag 7 december 2018 @ 10:07:
De enige die hier "verantwoordelijk" voor is, is degene die blind 'dev' dependencies installeert op een productieomgeving + APP_DEBUG aan zet.

PieterjanDC schreef op donderdag 6 december 2018 @ 10:37:
Kan ik weten of er ingelogd is via PhpMyAdmin

of op mijn MySql-server?

[ Voor 36% gewijzigd door Olaf van der Spek op 07-12-2018 11:39 ]

NMe schreef op donderdag 6 december 2018 @ 11:49:
[...]

Gevoelige informatie is tot daaraan toe maar wachtwoorden erin gaan zetten is ronduit debiel. Die zijn echt niet relevant als debuginformatie en hebben niks op zo'n pagina te zoeken. Het is zeker niet handig van OP om zijn productieserver in debug-modus te zetten maar tegelijkertijd is het Laravel IMO zéker aan te rekenen als het dit soort waardes gewoon afdrukt.

mcDavid schreef op vrijdag 7 december 2018 @ 11:40:
Nou nou, dat gaat wel erg ver. Ja natuurlijk heeft een wachtwoord in een stack-trace (meestal) geen toegevoegde waarde en zou je ze er liever niet in zien. Maar heb jij een goeie manier om alle passwords uit alle stack traces te filteren dan? Voor sommige specifieke situaties zou je ze misschien kunnen filteren. Maar precies bijhouden op welke plekken passwords in stack traces terecht zouden kunnen komen is a hell of a job. Om niet te zeggen niet te doen.

[ Voor 6% gewijzigd door Olaf van der Spek op 07-12-2018 11:43 ]

Olaf van der Spek schreef op vrijdag 7 december 2018 @ 11:41:
[...]

Dit gaat niet over stacktraces..
Maar waarom zouden wachtwoorden in stacktraces / functie argumenten gebruikelijk zijn?

mcDavid schreef op vrijdag 7 december 2018 @ 11:47:
[...]


Hoe wou jij een database-connectie opzetten zonder daar een password aan mee te geven?

Of een user authenticeren... of whatever?

1

password_verify(input('password'), $hash)

1. De dev dependencies uit composer.json horen niet online te staan. Een deployment tool als Envoyer regelt dit al voor je. Als je het handmatig doet:
   code:
   

   1	composer install --no-dev

   Wanneer je nog FTP gebruikt, dan moet je dus eerst lokaal dat commando draaien en daarna pas uploaden. Al raad ik je altijd aan een deployment tool te gebruiken.
2. Debuggen/testen doe je niet op de live omgeving maar op je lokale omgeving (in je productie omgeving hoor je nooit en te nimmer de APP_DEBUG op true te zetten). Daar hoef je overigens geen extra server voor te hebben of extra kosten te maken. Met allemaal gratis tools kan je je Laravel website lokaal testen. Afhankelijk van je platform zijn er diverse tools beschikbaar. Als je hier hulp bij nodig hebt, laat het gerust in dit topic weten dan kunnen wij je de goede kant op sturen.

[ Voor 3% gewijzigd door dvdheiden op 07-12-2018 12:09 . Reden: Nederlands is moeilijk ]

Olaf van der Spek schreef op vrijdag 7 december 2018 @ 11:53:
[...]

https://mariadb.com/kb/en...ation-plugin-unix-socket/

Of een db lib die het wachtwoord (en andere configuratie) zelf uit een bestand leest.

[...]

PHP:

1	password_verify(input('password'), $hash)

Tenzij password_verify() een exceptie gooit heb je nergens dat plaintext wachtwoord in een stacktrace toch?
En zelfs als je dat wel hebt is dat het wachtwoord wat de gebruiker zelf net heeft ingevoerd.

mcDavid schreef op vrijdag 7 december 2018 @ 12:04:
[...]
Op lang niet alle hosting omgevingen heb je dat soort modules tot je beschikking. En een DB-lib kan ook een exception gooien.

Hoe komt dat password bij password_verify() terecht dan? Meestal via $_POST en laat dat nou net interessante informatie zijn die je in een foutmelding (meestal) graag wilt zien... En behalve bij degene die het wachtwoord ingevoerd heeft, heb je ook zomaar kans dat het in een error log terecht komt.

Olaf van der Spek schreef op vrijdag 7 december 2018 @ 12:07:
[...]

Kan, maar dan kan ie er ook rekening mee houden dat de stacktrace geen wachtwoord bevat.

[...]

De error log is niet world readable.. hopelijk.

[ Voor 15% gewijzigd door mcDavid op 07-12-2018 12:14 ]

mcDavid schreef op vrijdag 7 december 2018 @ 12:12:
[...]
Het vervelende van exceptions is nou juist dat ze vaak tevoorschijn komen op het moment dat er iets gebeurt waar je van tevoren *niet* aan gedacht had

[...]

Wat is precies het punt dat je hiermee wilt maken? Net was dat nog dat passwords niet in backtraces horen, nu dat het niet uit maakt dat ze er in staan?

[ Voor 8% gewijzigd door Olaf van der Spek op 07-12-2018 12:18 ]

Barryvdh schreef op vrijdag 7 december 2018 @ 10:07:
[...]

De enige die hier "verantwoordelijk" voor is, is degene die blind 'dev' dependencies installeert op een productieomgeving + APP_DEBUG aan zet.

mcDavid schreef op vrijdag 7 december 2018 @ 11:40:
[...]

Nou nou, dat gaat wel erg ver. Ja natuurlijk heeft een wachtwoord in een stack-trace (meestal) geen toegevoegde waarde en zou je ze er liever niet in zien. Maar heb jij een goeie manier om alle passwords uit alle stack traces te filteren dan? Voor sommige specifieke situaties zou je ze misschien kunnen filteren. Maar precies bijhouden op welke plekken passwords in stack traces terecht zouden kunnen komen is a hell of a job. Om niet te zeggen niet te doen.

NMe schreef op vrijdag 7 december 2018 @ 13:58:
[...]

Je begrijpt mijn punt niet. Ook op de dev-omgeving is dit nutteloze en mogelijk zelfs onwenselijke data om af te drukken.

NMe schreef op vrijdag 7 december 2018 @ 13:58:
[...]

Je begrijpt mijn punt niet. Ook op de dev-omgeving is dit nutteloze en mogelijk zelfs onwenselijke data om af te drukken.

[ Voor 4% gewijzigd door Siebsel op 07-12-2018 15:09 ]

[ Voor 38% gewijzigd door Lethalis op 07-12-2018 16:16 ]

Barryvdh schreef op vrijdag 7 december 2018 @ 14:25:
[...]


Klopt, daarom wijzen ze daarop in de documentatie en leggen ze uit hoe je bepaalde data kan verbergen. Ik bedoel alleen maar dat het niet de schuld is van de ontwikkelaar als jij de software op een manier gebruikt die zij niet bedoelden.

Lethalis schreef op vrijdag 7 december 2018 @ 15:40:
MySQL ook:
https://dev.mysql.com/doc...gable-authentication.html

[ Voor 21% gewijzigd door Olaf van der Spek op 07-12-2018 16:03 ]

Barryvdh schreef op vrijdag 7 december 2018 @ 14:25:
[...]


Klopt, daarom wijzen ze daarop in de documentatie en leggen ze uit hoe je bepaalde data kan verbergen. Ik bedoel alleen maar dat het niet de schuld is van de ontwikkelaar als jij de software op een manier gebruikt die zij niet bedoelden.

NMe schreef op vrijdag 7 december 2018 @ 19:58:
[...]

Als de standaard is om alles te laten zien en je alleen een werkbare situatie krijgt als je actief dingen aan moet gaan lopen passen is er iets fundamenteel mis.

Barryvdh schreef op vrijdag 7 december 2018 @ 20:40:
[...]

Het is prima werkbaar, want het is een (optionele) development tool. Maargoed, sommige mensen haten graag op alles wat met Laravel te maken heeft.

Barryvdh schreef op vrijdag 7 december 2018 @ 20:40:
[...]

Maargoed, sommige mensen haten graag op alles wat met Laravel te maken heeft.

NMe schreef op vrijdag 7 december 2018 @ 19:58:
[...]

Als de standaard is om alles te laten zien en je alleen een werkbare situatie krijgt als je actief dingen aan moet gaan lopen passen is er iets fundamenteel mis.

Barryvdh schreef op vrijdag 7 december 2018 @ 20:40:
[...]

Het is prima werkbaar, want het is een (optionele) development tool. Maargoed, sommige mensen haten graag op alles wat met Laravel te maken heeft.

[ Voor 19% gewijzigd door Engineer op 09-12-2018 11:57 ]

[ Voor 110% gewijzigd door Verwijderd op 19-10-2019 16:11 . Reden: Leeg ivm privacy ]

rutgerw schreef op zaterdag 8 december 2018 @ 13:02:
[...]


Hoe moet je als package maintainer weten in welke environment variabele een wachtwoord zit? Laravel gebruikt DB_PASSWORD, een ander houdt het bij DB_PASS of DB_CONNECTION_STRING ofzo.

Verwijderd schreef op zondag 9 december 2018 @ 12:50:
[...]

Sorry, maar volgens mij is dat al een paar keer onderuit gehaald. Wordt standaard meegeleverd (en dat is een rekbaar begrip maar eigenwijze jongetjes moet je af en toe een win gunnen) maar staat niet standaard aan.

$ composer why filp/whoops
laravel/framework  v4.2.22  requires  filp/whoops (1.1.*)

[ Voor 12% gewijzigd door NMe op 09-12-2018 13:43 ]

[ Voor 100% gewijzigd door Verwijderd op 19-10-2019 16:11 . Reden: Leeg ivm privacy ]

Verwijderd schreef op zondag 9 december 2018 @ 13:47:
[...]


Laravel 5 kwam uit in februari 2015.

$ composer why filp/whoops
laravel/laravel       -       requires (for development)  filp/whoops (^2.0)
nunomaduro/collision  v2.1.1  requires                    filp/whoops (^2.1.4)

APP_NAME=Laravel
APP_ENV=local
APP_KEY=base64:W3sKTtZjzn+VO4FnbpYe0XVoIRLH2jYxzsrMHjHgMgU=
APP_DEBUG=true
APP_URL=http://localhost

LOG_CHANNEL=stack

DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=homestead
DB_USERNAME=homestead
DB_PASSWORD=secret

rutgerw schreef op zaterdag 8 december 2018 @ 13:02:
[...]


Hoe moet je als package maintainer weten in welke environment variabele een wachtwoord zit? Laravel gebruikt DB_PASSWORD, een ander houdt het bij DB_PASS of DB_CONNECTION_STRING ofzo.

@PieterjanDC Ik zie trouwens dat Laravel de mogelijkheid biedt om bepaalde environment variable uit te filteren: zie hier https://laravel.com/docs/...environment-configuration

rutgerw schreef op zaterdag 8 december 2018 @ 13:02:
Hoe moet je als package maintainer weten in welke environment variabele een wachtwoord zit?

PerryMr schreef op zondag 9 december 2018 @ 14:04:
En daarnaast zie ik ook in een dev-omgeving het nut niet om een hele .env file te tonen...

rutgerw schreef op zondag 9 december 2018 @ 20:06:
[...]


Dat Whoops package toont niet in de inhoud van .env maar van $_ENV. Ik neem aan dat .env gesourced wordt in $_ENV?

Barryvdh schreef op zondag 9 december 2018 @ 16:03:
Maar om het meteen te bestempelen alsof het framework onveilig is, is wat mij betreft niet terecht.

NMe schreef op zondag 9 december 2018 @ 22:56:
[...]

Ik geloof niet dat dat echt de samenvatting was van deze discussie. Ik vind heel veel dingen van Laravel en de meeste daarvan zul jij als iemand die actief aan Laravel bijdraagt niet heel fijn vinden om te horen, maar ik denk niet dat het onveilig is. Wel denk ik dat hier een slechte keuze is gemaakt. [..]

PieterjanDC schreef op donderdag 6 december 2018 @ 10:01:
Nu mijn vraag... Als een MVC framework zo idioot is om de secrets van een een applicatie gewoon te printen in HTML, welke andere idiote security issues kunnen er dan nog naar boven komen? Is het nog verstandig om deze website te blijven hosten of dit framework te blijven gebruiken?

Barryvdh schreef op maandag 10 december 2018 @ 10:29:

Overigens nog een kleine tip voor mensen die Laravel in productie draaien:

Als je 'php artisan config:cache' draait tijdens je deploy script, zorgt dit ervoor dat je config gecached wordt. Dit is niet alleen sneller, maar dan wordt je .env file ook niet ingeladen in je environment variables, en kunnen ze dus ook niet per ongeluk in logs/dumps etc terecht komen (vanuit je env/server vars iig).
(Dat is ook de reden dat je NOOIT `env('IETS')` mag doen in je code zelf, alleen in de configuratie files.)

edofso schreef op maandag 10 december 2018 @ 12:18:
[...]


Als je dan bijvoorbeeld in je code ergens een api token gebruikt, wil je deze liever via config('test.api_token'); ophalen? Waar config/test.php -> return ['api_token' => env('API_TOKEN')];?

[ Voor 13% gewijzigd door Barryvdh op 10-12-2018 13:03 ]

Barryvdh schreef op maandag 10 december 2018 @ 13:00:
[...]

Ja precies, altijd je .env waardes gebruiken in je config files. Meestal gebruik ik gewoon config/services.php. Dus als je het in je code nodig hebt is het altijd `config('services.slack.apikey')` en nooit `env('SLACK_API_KEY')`. Want die laatste bestaat dus niet als je config gecached is.

(Al moet je hierbij wel rekening houden dat je geen functies/callbacks kan gebruiken in je config, en dat je handmatig je config opnieuw moet cachen als je iets wijzigt)

PieterjanDC schreef op vrijdag 28 december 2018 @ 15:53:
Een testserver geeft error messages, anders is het geen testserver...

Een virus is zo gemaakt en verspreid. Het is een kwestie van tijd vooralleer deze terechtkomt in een netwerk waar een Laravel site gehost wordt.

De essentie van de zaak is trouwens dat je nooit een wachtwoord op een webpagina zet...
Indien je niet overtuigd bent hierover: Github discussion

Als ik trouwens wil debuggen van buitenaf op een testserver, of als ik een vpn server zou gebruiken om te testen, dan kan ik dus op mijn kin kloppen...

1
2
3
4
5

if ($_SERVER['REMOTE_ADDR'] == 'jouw-ip') {
    ini_set('display_errors', 1);
    ini_set('display_startup_errors', 1);
    error_reporting(-1);
}

PieterjanDC schreef op vrijdag 28 december 2018 @ 16:15:
Daarvoor hebben ze SSH uitgevonden. En lokale dev zoals Vagrant/Homestead hebben nogal wat beperkingen.

PieterjanDC schreef op vrijdag 28 december 2018 @ 16:56:
Ik raad u toch aan om eens deze link van hacken.io te openen...

Het gaat over een geval waarbij APP_DEBUG=FALSE. En ja toch werd de Whoops page getoond...
WHOOPS

Eén accidentiele fout door de Laravel ontwikkelaars, één composer update en al je credentials liggen gewoon op de straat...

NMe schreef op vrijdag 28 december 2018 @ 16:48:
[...]

Zoals? Je hoeft verder ook niet per se Vagrant of Homestead te gebruiken, je mag ook gewoon zelf Apache/Nginx, PHP en MySQL/MariaDB installeren.

1

php artisan serve

PieterjanDC schreef op vrijdag 28 december 2018 @ 16:56:
Ik raad u toch aan om eens deze link van hacken.io te openen...

Radiant schreef op vrijdag 28 december 2018 @ 18:18:
[...]

Laravel maakt het ook gemakkelijk om PHPs interne webserver te gebruiken voor ontwikkeldoeleinden, dan heb je zelfs geen Apache/Nginx nodig.

code:

1	php artisan serve

En uiteraard is dat standaard alleen toegankelijk vanaf localhost, wel zo veilig

[ Voor 55% gewijzigd door NMe op 28-12-2018 18:43 ]

Radiant schreef op vrijdag 28 december 2018 @ 18:18:
En uiteraard is dat standaard alleen toegankelijk vanaf localhost, wel zo veilig

Olaf van der Spek schreef op zaterdag 29 december 2018 @ 15:59:
Sinds wanneer is localhost veilig?

NMe schreef op vrijdag 28 december 2018 @ 18:40:
[...]

En waar op die pagina staat iets dat tegenspreekt wat ik net zei?

[...]

Ik vind dat juist niet fijn, vooral omdat ik nogal vaak tussen projecten moet switchen op een dag. Soms moet ik zelfs acuut overschakelen naar een ander project. Ik wil dan gewoon naar de site die ik nodig heb kunnen browsen zonder eerst servers te moeten stoppen en andere te moeten starten. Dan spendeer ik liever even eenmalig dat halve uurtje om een echte server op te starten en er nooit meer naar te hoeven omkijken.

moese schreef op zaterdag 29 december 2018 @ 23:51:
[...]


https://stackoverflow.com...for-php-artisan-php-serve

Kijk hier even naar. Je kan meerdere projecten tegelijkertijd draaien. misschien de IP adressen die je eraan geeft in je HOST file een naam geven voor het gemak?

NMe schreef op zondag 30 december 2018 @ 00:07:
[...]

Mja, of ik stel één keer Apache goed in en heb nooit meer omkijken naar poorten, hostnames en hostfiles lokaal...

moese schreef op zondag 30 december 2018 @ 01:42:
[...]

Kan ook maar ik werk vaak vanuit andere plekken dan een Apache WWW folder en ik zit vast geroest aan de Artisan serve functie

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
[...]


Of het kan natuurlijik ook zijn dat er per ongeluk (en ja ik geloof dat dat wel eens kan) een bug in de Laravel-repository terechtkomt waardoor de Whoops-page getoond wordt terwijl dat APP_DEBUG feitelijk op FALSE staat.
https://www.google.com/am...ode-enabled%3fhs_amp=true

The reason for the information leak was a bug in the handling of error events in the web app, which caused the web app to act as it was in debug mode (which it wasn't configured to be).

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
[...]


Heb ik al gezegd dat zelf de .env.example hier "standaard" niet op ingesteld is...
https://github.com/laravel/laravel/blob/master/.env.example

Zelf als je "beweert" dat Laravel standaard goed ingesteld is, kijk naar het voorbeeld.
Uiteraard moet je dit aanpassen op een productie, daar ben ik het met je eens.
Maar het is zeker al niet standaard juist ingesteld.

@Barryvdh
Het idee van de wildcard debug_blacklist klinkt als muziek in mijn oren. Hopelijk wordt de config/app.php dan standaard hiermee aangepast naar:

'debug_blacklist' => [
'*_PASS',
'*_PASSWORD',
'*_KEY',
]

Interessanter nog zou zijn om een debug_whitelist te gebruiken. Hierdoor worden de nieuwe variabelen die aan de .env file toegevoegd worden by-default verborgen. Sommigen beweren dat het beter is te whitelisten dan te blacklisten... Maar met wildcards kan je IMO ook al ongeveer hetzelfde effect bekomen.

Het mag dan al zijn dat een virus in je netwerk terechtkomt en een devserver vindt, hij kan toch al niet je service-account-passwords aflezen van de html-pagina. E-mailadressen voor deze accounts zijn minder belangrijjk om te verbergen.

Of het kan natuurlijik ook zijn dat er per ongeluk (en ja ik geloof dat dat wel eens kan) een bug in de Laravel-repository terechtkomt waardoor de Whoops-page getoond wordt terwijl dat APP_DEBUG feitelijk op FALSE staat.
https://www.google.com/am...ode-enabled%3fhs_amp=true

Maar dan is de chain of security tenminste niet kapot en zal de wildcard debug_blacklist nog kunnen verhinderen dat deze in de HTTP-response terechtkomt.


[...]


Dat "zou" moeten, maar in het verleden werd al bewezen dat dit niet altijd zo geweest is...
Zie link


[...]


Ik had dit al eerder op Laracasts gevraagd. Daar werd mijn vraag onmiddellijk naar de prullenmand gestuurd.
Alle verantwoordelijkheid wordt in directe lijn naar de eindontwikkelaar gestuurd en Laravel bleek hier geen verantwoordelijkheid te willen dragen. Poor default settings, ... Het antwoord is onmiddellijk dat je nooit debug aan moet hebben staan public (ok, hier ben ik het mee eens), maar dit belet niet dat iemand je netwerk hackt en onmiddellijk alle environment variables kan opvragen via het minst beveiligde protocol in de web development. Zelf als bewezen is dat de Whoops-page tevoorschijn kan komen bij APP_DEBUG=FALSE, wordt hier nog steeds geen graten in gezien.

Je stelt een vraag of geeft een suggestie en krijgt direct het deksel op de neus. Vervolgens zoek je op internet, vind je forumposts van mensen die exact hetzelfde zeggen: Plaats nooit een wachtwoord in een HTTP-response, onmiddellijk 30 resultaten en het antwoord hierop is steeds, steeds It's not us, we're innocent.
Dit geeft al onmiddellijk de blijk dat de ontwikkelaars achter dit project niet van plan zijn om alle security holes in hun framework zo goed mogelijk dicht te maken. Zonde want Laravel is qua performantie superefficiënt (veel efficiënter dan ASP.NET of zelfs andere PHP-frameworks). Vervolgens krijg je op GitHub dezelfde reacties van de project-beheerders. Dan kun je wel denken dat de webapp-developers hier niet echt happy mee zijn toch?

Ik begrijp niet waarom men zo losbandig kan omspringen met het exposen van secret values via HTTP (zoals ik al zei het minst beveiligde protocol in web development). Bij SSH of FTP moet je een wachtwoord opgeven vooraleer je kan verbinden, een HTTP-request is zo gestuurd en duurt maar 20 ms.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
[...]

Ik begrijp niet waarom men zo losbandig kan omspringen met het exposen van secret values via HTTP

NMe schreef op zondag 30 december 2018 @ 00:07:
[...]

Mja, of ik stel één keer Apache goed in en heb nooit meer omkijken naar poorten, hostnames en hostfiles lokaal...

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<Virtualhost *:80>
    VirtualDocumentRoot "C:\Users\****\Server\%-2+"
    ServerName vhosts.local
    ServerAlias *.local
    UseCanonicalName Off
    ErrorLog "C:\Users\****\Server\vhosts-error_log"

    <Directory "C:\Users\****\Server\*">
        Options Indexes FollowSymLinks MultiViews
        AllowOverride All
        Order Deny, Allow
        Deny from all
        Allow from 127.0.0.1 ::1
        Allow from localhost
        Allow from 192.168
        Allow from 10
        Satisfy Any
    </Directory>
</Virtualhost>

PieterjanDC schreef op dinsdag 1 januari 2019 @ 18:19:
[...]

Dat zei ik dus idd...

Maar verder is de essentie van het verhaal dus:
local dev:

code:

1	composer install

production:

code:

1	composer install --no-dev

When deploying to production, make sure that you are optimizing Composer's class autoloader map so Composer can quickly find the proper file to load for a given class:

composer install --optimize-autoloader --no-dev

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Heb ik al gezegd dat zelf de .env.example hier "standaard" niet op ingesteld is...
https://github.com/laravel/laravel/blob/master/.env.example

Zelf als je "beweert" dat Laravel standaard goed ingesteld is, kijk naar het voorbeeld.
Uiteraard moet je dit aanpassen op een productie, daar ben ik het met je eens.
Maar het is zeker al niet standaard juist ingesteld.

quote: https://laravel.com/docs/...environment-configuration

Your .env file should not be committed to your application's source control, since each developer / server using your application could require a different environment configuration. Furthermore, this would be a security risk in the event an intruder gains access to your source control repository, since any sensitive credentials would get exposed.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
@Barryvdh
Het idee van de wildcard debug_blacklist klinkt als muziek in mijn oren. Hopelijk wordt de config/app.php dan standaard hiermee aangepast naar:

'debug_blacklist' => [
'*_PASS',
'*_PASSWORD',
'*_KEY',
]

Interessanter nog zou zijn om een debug_whitelist te gebruiken. Hierdoor worden de nieuwe variabelen die aan de .env file toegevoegd worden by-default verborgen. Sommigen beweren dat het beter is te whitelisten dan te blacklisten... Maar met wildcards kan je IMO ook al ongeveer hetzelfde effect bekomen.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Het mag dan al zijn dat een virus in je netwerk terechtkomt en een devserver vindt, hij kan toch al niet je service-account-passwords aflezen van de html-pagina. E-mailadressen voor deze accounts zijn minder belangrijjk om te verbergen.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Of het kan natuurlijik ook zijn dat er per ongeluk (en ja ik geloof dat dat wel eens kan) een bug in de Laravel-repository terechtkomt waardoor de Whoops-page getoond wordt terwijl dat APP_DEBUG feitelijk op FALSE staat.
https://www.google.com/am...ode-enabled%3fhs_amp=true

quote: Murphy's law

If you make something idiot-proof, someone will just make a better idiot

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Maar dan is de chain of security tenminste niet kapot en zal de wildcard debug_blacklist nog kunnen verhinderen dat deze in de HTTP-response terechtkomt.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Ik had dit al eerder op Laracasts gevraagd. Daar werd mijn vraag onmiddellijk naar de prullenmand gestuurd.
Alle verantwoordelijkheid wordt in directe lijn naar de eindontwikkelaar gestuurd en Laravel bleek hier geen verantwoordelijkheid te willen dragen. Poor default settings, ... Het antwoord is onmiddellijk dat je nooit debug aan moet hebben staan public (ok, hier ben ik het mee eens), maar dit belet niet dat iemand je netwerk hackt en onmiddellijk alle environment variables kan opvragen via het minst beveiligde protocol in de web development. Zelf als bewezen is dat de Whoops-page tevoorschijn kan komen bij APP_DEBUG=FALSE, wordt hier nog steeds geen graten in gezien.

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Je stelt een vraag of geeft een suggestie en krijgt direct het deksel op de neus. Vervolgens zoek je op internet, vind je forumposts van mensen die exact hetzelfde zeggen: Plaats nooit een wachtwoord in een HTTP-response, onmiddellijk 30 resultaten en het antwoord hierop is steeds, steeds It's not us, we're innocent.
Dit geeft al onmiddellijk de blijk dat de ontwikkelaars achter dit project niet van plan zijn om alle security holes in hun framework zo goed mogelijk dicht te maken. Zonde want Laravel is qua performantie superefficiënt (veel efficiënter dan ASP.NET of zelfs andere PHP-frameworks). Vervolgens krijg je op GitHub dezelfde reacties van de project-beheerders. Dan kun je wel denken dat de webapp-developers hier niet echt happy mee zijn toch?

PieterjanDC schreef op dinsdag 1 januari 2019 @ 11:02:
Ik begrijp niet waarom men zo losbandig kan omspringen met het exposen van secret values via HTTP (zoals ik al zei het minst beveiligde protocol in web development). Bij SSH of FTP moet je een wachtwoord opgeven vooraleer je kan verbinden, een HTTP-request is zo gestuurd en duurt maar 20 ms.

[ Voor 3% gewijzigd door xh3adshotx op 01-01-2019 19:30 ]

[ Voor 6% gewijzigd door PatrickH89 op 02-01-2019 11:26 ]

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Als je dit echt wil, en je bent bereid het risico te lopen dat iemand al je wachtwoorden steelt en de accounts gebruikt waar jij voor betaalt, dan kun je steeds gewoon de config-file aanpassen. Security by default vind ik toch belangrijker dan luisteren naar een ontwikkelaar die te lui is om gewoon met één simpele klik zijn .env-file te openen en zijn wachtwoord dat hij dagelijks gebruikt hierin af te lezen. Maar het is natuurlijk hoe je het bekijkt hé.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Als er trouwens een nieuwe versie van Laravel in composer terechtkomt die een bug bevat die ervoor zorgt dat de app acts as he's in debug-mode dan lopen onmiddellijk honderdduizenden websites onterecht het risico dat hun wachtwoorden op het internet af te lezen zijn.

[ Voor 22% gewijzigd door NMe op 02-01-2019 12:05 ]

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:

Kijk om je heen... Er zijn honderdduizenden Laravel websites. Hoeveel van deze websites toont gewoon het SQL-wachtwoord denk je? Zelf als APP_DEBUG=FALSE...

Als er trouwens een nieuwe versie van Laravel in composer terechtkomt die een bug bevat die ervoor zorgt dat de app acts as he's in debug-mode dan lopen onmiddellijk honderdduizenden websites onterecht het risico dat hun wachtwoorden op het internet af te lezen zijn. Schrijf wachtwoorden naar logfiles of dergelijke, deze zijn niet toegankelijk. Ook niet als een werknemer/programmeur in je bedrijf een virus downloadt. Maar toch niet in een HTTP response...

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
[...]


Als je met mailgun of sparkpost of Algolia werkt, is de kans groot dat je dezelfde account wilt gebruiken... Indien niet dan is dit OK maar van de 200.000 ontwikkelaars zullen er toch wel 40.000 zijn die dit doen.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
De microsoft-werknemers die ASP.NET ontwikkeld zijn nochtans niet zo debiel om wachtwoorden/usernames op de debugpagina te tonen en gaan ervan uit dat de projectontwikkelaar niet te lui is om zijn config-files te openen in een teksteditor.

PatrickH89 schreef op woensdag 2 januari 2019 @ 12:11:
[...]


Heb je al eens gekeken hoeveel websites gewoon een .env file tonen als je erheen gaat met je browser? PEBCAK. Net als dit probleem.

dev10 schreef op woensdag 2 januari 2019 @ 12:32:

[...]


Om hier even op aan te haken: de maker van de PHP dotenv, die gebruikt wordt door Laravel, geeft zelfs expliciet aan dat deze library niet bedoeld is voor een productieomgeving: https://github.com/vlucas...07#issuecomment-273530307

Dit sluit ook weer naadloos aan bij het derde punten in de lijst met 12 factoren: https://12factor.net/config

[ Voor 11% gewijzigd door PatrickH89 op 02-01-2019 12:42 ]

[...]


Om hier even op aan te haken: de maker van de PHP dotenv, die gebruikt wordt door Laravel, geeft zelfs expliciet aan dat deze library niet bedoeld is voor een productieomgeving: https://github.com/vlucas...07#issuecomment-273530307

Dit sluit ook weer naadloos aan bij het derde punten in de lijst met 12 factoren: https://12factor.net/config

1

php artisan optimize

[ Voor 10% gewijzigd door Chloortablet op 02-01-2019 12:43 ]

dev10 schreef op woensdag 2 januari 2019 @ 12:32:
Om hier even op aan te haken: de maker van de PHP dotenv, die gebruikt wordt door Laravel, geeft zelfs expliciet aan dat deze library niet bedoeld is voor een productieomgeving: https://github.com/vlucas...07#issuecomment-273530307

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Als je met mailgun of sparkpost of Algolia werkt, is de kans groot dat je dezelfde account wilt gebruiken... Indien niet dan is dit OK maar van de 200.000 ontwikkelaars zullen er toch wel 40.000 zijn die dit doen.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Als je dit echt wil, en je bent bereid het risico te lopen dat iemand al je wachtwoorden steelt en de accounts gebruikt waar jij voor betaalt, dan kun je steeds gewoon de config-file aanpassen. Security by default vind ik toch belangrijker dan luisteren naar een ontwikkelaar die te lui is om gewoon met één simpele klik zijn .env-file te openen en zijn wachtwoord dat hij dagelijks gebruikt hierin af te lezen. Maar het is natuurlijk hoe je het bekijkt hé.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Nee, echt? Ik ken zelfs geen websites waarop je je profiel kan aanpassen waarop staat "Dit is je wachtwoord, wil je dit wachtwoord wijzigen?". Technisch is dit uiteraard zelf niet mogelijk (read bcrypt), maar er is dus zelfs geen website in de wereld die het in zijn hoofd haalt om een gebruiker zijn wachtwoord in een HTTP-response te printen. Laat staan een SQL-wachtwoord.
En je vertrouwt enkel en alleen op je firewall dat deze alles gaat tegenhouden? Wat met je eigen computer? Gaat een virus die slechts 20 ms nodig heeft om een webrequest naar een testserver in je netwerk te sturen ook tegengehouden worden? Of misschien de computer van je zus?

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Omdat hij hiervoor eerst het Linux/Windows wachtwoord nodig heeft. Om een HTTP-request te sturen heb je geen wachtwoord nodig, en om een virus in een netwerk te verspreiden evenmin.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
De microsoft-werknemers die ASP.NET ontwikkeld zijn nochtans niet zo debiel om wachtwoorden/usernames op de debugpagina te tonen en gaan ervan uit dat de projectontwikkelaar niet te lui is om zijn config-files te openen in een teksteditor.

FTP werkt niet op mijn hosting, ik kan enkel SFTP gebruiken (SSH).

quote: https://docs.microsoft.co...dling?view=aspnetcore-2.2

Warning

Enable the Developer Exception Page only when the app is running in the Development environment. You don't want to share detailed exception information publicly when the app runs in production. Learn more about configuring environments.

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Kijk om je heen... Er zijn honderdduizenden Laravel websites. Hoeveel van deze websites toont gewoon het SQL-wachtwoord denk je? Zelf als APP_DEBUG=FALSE...

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
Als er trouwens een nieuwe versie van Laravel in composer terechtkomt die een bug bevat die ervoor zorgt dat de app acts as he's in debug-mode dan lopen onmiddellijk honderdduizenden websites onterecht het risico dat hun wachtwoorden op het internet af te lezen zijn. Schrijf wachtwoorden naar logfiles of dergelijke, deze zijn niet toegankelijk. Ook niet als een werknemer/programmeur in je bedrijf een virus downloadt. Maar toch niet in een HTTP response...

PieterjanDC schreef op woensdag 2 januari 2019 @ 11:47:
[...]

Kijk om je heen... Er zijn honderdduizenden Laravel websites. Hoeveel van deze websites toont gewoon het SQL-wachtwoord denk je? Zelf als APP_DEBUG=FALSE...

Als er trouwens een nieuwe versie van Laravel in composer terechtkomt die een bug bevat die ervoor zorgt dat de app acts as he's in debug-mode dan lopen onmiddellijk honderdduizenden websites onterecht het risico dat hun wachtwoorden op het internet af te lezen zijn. Schrijf wachtwoorden naar logfiles of dergelijke, deze zijn niet toegankelijk. Ook niet als een werknemer/programmeur in je bedrijf een virus downloadt. Maar toch niet in een HTTP response...