Neu Sicherheitswarnung - Wawi Datenbank (sa) Passwort mit öffentlichem Tool entschlüsselbar

mvh

Sehr aktives Mitglied
26. Oktober 2011
638
208
Ihr könnt noch weiter gehen und den Zugriff für alle "Fremdprogramme" außer WaWi sperren.
Dafür gibt es Logon Trigger, s. https://learn.microsoft.com/en-us/s...ers?redirectedfrom=MSDN&view=sql-server-ver16
Die Sessions werden in der Tabelle sys.dm_exec_sessions verwaltet, s. z.B. https://stackoverflow.com/questions...y-access-to-sql-server-from-specific-programs
Die Programmnamen wären: JTL-wawi, <Benutzer> JTL-Wawi C#, usw. (Feld: program_name) und Eure Rechnernamen stehen in host_name
 

mh1

Sehr aktives Mitglied
4. Oktober 2020
1.261
337
Ihr könnt noch weiter gehen und den Zugriff für alle "Fremdprogramme" außer WaWi sperren.
Dafür gibt es Logon Trigger, s. https://learn.microsoft.com/en-us/s...ers?redirectedfrom=MSDN&view=sql-server-ver16
Die Sessions werden in der Tabelle sys.dm_exec_sessions verwaltet, s. z.B. https://stackoverflow.com/questions...y-access-to-sql-server-from-specific-programs
Die Programmnamen wären: JTL-wawi, <Benutzer> JTL-Wawi C#, usw. (Feld: program_name) und Eure Rechnernamen stehen in host_name
Ein Programm, dass eine Verbindung zum SQL-Server herstellt, setzt doch den eigenen Programmname in den Verbindungsparametern.
Das böse Programm kann also problemlos zum SQL-Server sagen: "ich bin die JTL-Wawi"

Nein, dafür sind Logon Trigger nicht gedacht und eine Art Zutrittskontrolle können sie auch nicht leisten, da die Logon Trigger erst nach der erfolgreichen Authentifizierung ausgeführt werden.
Ein denkbarer Einsatz für Logon Trigger wäre z.B. eine Prüfung, ob ein User bereits angemeldet ist, also er sich nicht mehrfach anmeldet und die bestehende Session weiterbenutzt.
 

Underbär

Sehr aktives Mitglied
19. Mai 2015
400
69
Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User
2023-01-27 09_43_22-Window.png

hmm was mache ich falsch?
 

mvh

Sehr aktives Mitglied
26. Oktober 2011
638
208
Ein Programm, dass eine Verbindung zum SQL-Server herstellt, setzt doch den eigenen Programmname in den Verbindungsparametern.
Das böse Programm kann also problemlos zum SQL-Server sagen: "ich bin die JTL-Wawi"


Nein, dafür sind Logon Trigger nicht gedacht und eine Art Zutrittskontrolle können sie auch nicht leisten, da die Logon Trigger erst nach der erfolgreichen Authentifizierung ausgeführt werden.
Ein denkbarer Einsatz für Logon Trigger wäre z.B. eine Prüfung, ob ein User bereits angemeldet ist, also er sich nicht mehrfach anmeldet und die bestehende Session weiterbenutzt.
1) Ja, kann er, aber dafür muss das böse Programm wissen, wie der Trigger geschrieben ist, denn außer Programmnamen gibt es noch zig weitere Parameter in der Session.
Und dafür muss sich das Programm zuerst mal als sa einloggen.
2) Wird die Session verweigert - wird die Verbindung unterbrochen, obwohl die Anmeldung richtig war, und dafür werden Logon Trigger ausgenutzt, auch laut Microsoft:
ROLLBACK TRANSACTION:
Consider the following when you are using a ROLLBACK TRANSACTION statement inside logon triggers:
  • Any data modifications made up to the point of ROLLBACK TRANSACTION are rolled back. These modifications include those made by the current trigger and those made by previous triggers that executed on the same event. Any remaining triggers for the specific event are not executed.
  • The current trigger continues to execute any remaining statements that appear after the ROLLBACK statement. If any of these statements modify data, the modifications are not rolled back.
A user session is not established if any one of the following conditions occur during execution of a trigger on a LOGON event:
  • The original implicit transaction is rolled back or fails.
  • An error that has severity greater than 20 is raised inside the trigger body.
 
Zuletzt bearbeitet:

mh1

Sehr aktives Mitglied
4. Oktober 2020
1.261
337
Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User
Den Anhang 93766 betrachten

hmm was mache ich falsch?
Wann kommt denn dieser Fehler?
Gleich beim Starten der Wawi?
Beim Anmelden einers Benutzers an der Wawi?
Ist das JTL-Datenbankprofil richtig eingestellt? Servername?
Server läuft und ist erreichbar?

Ich habe gerade den Artikel aus deinem Link überflogen.
Ich muss zugeben, dass ich mich diesbezüglich mit dem Management Studio garnicht so genau auskenne, da ich solche Admin Aufgaben immer gerne direkt mit SQL mache, aber kann es sein, dass du nur einen Login angelegt hast und doch keinen User?
 

mh1

Sehr aktives Mitglied
4. Oktober 2020
1.261
337
2) Wird die Session verweigert - wird die Verbindung unterbrochen, obwohl die Anmeldung richtig war,
Das stimmt, der LOGON Trigger wird ausgeführt, sobald SQL-Server ein LOGON Ereignis feststellt und noch bevor die Benutzersitzung eingerichtet wird.
Der SQL-Server startet eine TRANSACTION für diesen Trigger. Schlägt diese TRANSACTION fehl, wird die Sitzung nicht hergestellt.

Bitte seid extrem vorsichtig mit diesen LOGON Triggern!
Damit haben sich schon einige effektiv von ihrem SQL-Server ausgesperrt ;)
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.343
838
Moin,

ich möchte nun auf jedem client die sa + pw Verbindungseinstellung löschen und durch einen extra angelegte User in der DB ersetzen.

Dafür habe ich folgenden Eintrag im Guide gefunden Neuen DB User anlegen wenn ich diesen dann angelegt habe,

bekomme ich folgenden Fehler beim neuverbinden bzw einrichten der neuen Verbindung mit neuem User
Den Anhang 93766 betrachten

hmm was mache ich falsch?

Wie so oft, steht die Lösung bereits in der Fehlermeldung... ;)

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.
 

Underbär

Sehr aktives Mitglied
19. Mai 2015
400
69
Wie so oft, steht die Lösung bereits in der Fehlermeldung... ;)

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.
Selbe Fehler. Bringt keinen unterschied.
 

mh1

Sehr aktives Mitglied
4. Oktober 2020
1.261
337
Wie so oft, steht die Lösung bereits in der Fehlermeldung... ;)

"Starten Sie bitte die JTL-Datenbankverwaltung als Administrator."

Du müsstest also vermutlich die Wawi mit einem Rechtsklick und dann im Kontextmenü mit "Als Administrator ausführen" starten. Wenn Du dann in die Datenbankverwaltung wechselst, sollte diese im Idealfall auch als Administrator ausgeführt werden und Du kannst dann (hoffentlich) die Änderungen entsprechend vornehmen.
Sind die Datenbankprofile nicht beim standardmäßig beim Benutzer gespeichert?
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.343
838
Sind die Datenbankprofile nicht beim standardmäßig beim Benutzer gespeichert?

Da bin ich mir nicht 100% sicher, grundsätzlich sind die Zugangsdaten beim Benutzer gespeichert, aber es kann sein, dass der Administrator zunächst das Profil anlegen muss und der Nutzer dieses dann anschließend auswählen kann (was ja auch Sinn ergeben würde).

Bei mir musste ich zunächst das Profil löschen, das Profil neu anlegen, noch die Rollen und Rechte im SQL-Server korrigieren und dann ging die Verbindung.
Allerdings habe ich es bisher nur als "Administrator" getestet, um erst einmal die korrekten Einstellungen zu prüfen.

Dann müssen wir mal von vorne Anfangen.
Um welche Version der Wawi geht es?

Was genau hast Du gemacht (außer im SQL-Server einen neuen User anzulegen) und wann erscheint diese Fehlermeldung?
Poste am besten mal Deine Einstellungen aus der Datenbankverwaltung / dem Profil aus der Wawi als Screenshot (Daten die niemanden etwas angehen, kannst Du ja unkenntlich machen).

Hast Du ein neues Datenbank-Profil in der Wawi angelegt und dieses dann ausgewählt oder das alte Datenbank-Profil gelöscht und ein neues angelegt?
 

mh1

Sehr aktives Mitglied
4. Oktober 2020
1.261
337
...aber es kann sein, dass der Administrator zunächst das Profil anlegen muss und der Nutzer dieses dann anschließend auswählen kann (was ja auch Sinn ergeben würde).
Das wär ja krass, wenn man das so einstellen kann.
Bei uns im Haus sind die Profile immer unter [HKEY_CURRENT_USER\SOFTWARE\jtl-software\Profiles] abgespeichert, also beim Benutzer.
Das heißt, an Geräten wo sich über den Tag mehrere Benutzer anmelden, hab ich seither immer auch mehrere Profile angelegt.
Wie geht das mit dem Admin Profil, das dann für alle Benutzer gilt?

Genau., so sehe ich das auch (siehe mein Beitrag am Freitag).

Oder du schreibst jetzt erstmal wieder den sa in das Profil, denn damit hats ja getan.


Hast Du ein neues Datenbank-Profil in der Wawi angelegt und dieses dann ausgewählt oder das alte Datenbank-Profil gelöscht und ein neues angelegt?
Prinzipiell bei Änderungen am JTL-Datenbankprofil würd ich es erst löschen und dann ein neues anlegen.
Hatte bei uns schon öfter den Fall, dass die Abänderung eines bestehenden Profils nicht erkannt wurde.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Verkäuferlein

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.343
838
Das wär ja krass, wenn man das so einstellen kann.
Bei uns im Haus sind die Profile immer unter [HKEY_CURRENT_USER\SOFTWARE\jtl-software\Profiles] abgespeichert, also beim Benutzer.
Das heißt, an Geräten wo sich über den Tag mehrere Benutzer anmelden, hab ich seither immer auch mehrere Profile angelegt.
Wie geht das mit dem Admin Profil, das dann für alle Benutzer gilt?

Sorry, das war wohl mehr ein Wunschtraum von mir, habe das gerade nochmal durchgespielt, aber so wie ich dachte funktioniert das leider nicht. Grundsätzlich macht es ja auch Sinn, da benutzerbezogen zu arbeiten und nicht rechnerbezogen. Allerdings würde es natürlich dennoch auch Sinn machen, dass nicht jeder Nutzer einfach in die Datenbankverwaltung kommt und dort Profile anlegen und löschen kann, wie er lustig ist.

Da hat mich die Fehlermeldung auf die falsche Fährte gelockt.

Genau., so sehe ich das auch (siehe mein Beitrag am Freitag).

Hätte ja auch mal klappen können und die Fehlermeldung führt weiter... ;)

Prinzipiell bei Änderungen am JTL-Datenbankprofil würd ich es erst löschen und dann ein neues anlegen.
Hatte bei uns schon öfter den Fall, dass die Abänderung eines bestehenden Profils nicht erkannt wurde.

Jop, steht auch so als Hinweis in der Datenbankverwaltung selber drin.

Aber man könnte ja auch zum Testen erstmal ein zusätzliches Profil anlegen und das SA-Profil dann später löschen.

@Underbär
Wir brauchen weitere Infos... :)
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Wechsel WAWI Hosting von JTL mit RDP auf ecomDATA User helfen Usern - Fragen zu JTL-Wawi 2
WAWI 1.8.12.0 stürzt ab, wenn die Verbindung zur Datenbank unterbrochen wurde JTL-Wawi 1.8 18
Neu Neue Oberfläche Wawi 1.8.12.2 (Beta) JTL-Wawi - Ideen, Lob und Kritik 0
Neu Suche jemanden BmeCat´s in Wawi Dienstleistung, Jobs und Ähnliches 2
Neu Wawi Sicherheitslücke geschlossen? Details? User helfen Usern - Fragen zu JTL-Wawi 13
Neu Update des JTL shops aus der Wawi funktioniert nicht Allgemeine Fragen zu JTL-Shop 1
Neu >Merchant Center Feld Textzeile welches wawi Feld User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL Wawi Bild-Upload unvollständig oder nur als mit meinem PC hochgeladen zu sehen User helfen Usern - Fragen zu JTL-Wawi 2
WaWi Preisuntergrenze für Artikel festschreiben JTL-Wawi 1.7 4
Artikelabgleich verlangsamt sich automatisch von Wawi JTL-Wawi 1.8 2
Kundenattribute aus Shop übernehmen und aus Wawi zurück an Shop übermitteln Einrichtung JTL-Shop5 1
Neu WaWi auf Mac Installation von JTL-Wawi 3
Neu Email Versand in JTL Wawi einstellen User helfen Usern - Fragen zu JTL-Wawi 3
Neu Produktdaten aus Shop zur Wawi WooCommerce-Connector 9
Neu Kunden aus Wawi nicht auffindbar JTL-POS - Fehler und Bugs 4
Neu Fehler beim Zahlungsabgleich - Zahlungsmodul - Wawi 1.5.55.6 Gelöste Themen in diesem Bereich 14
Neu Attribut wc_product_type in Wawi nicht vorhanden Gelöste Themen in diesem Bereich 5
Neu JTL-Wawi Logdatei Speicherort JTL-Wawi - Fehler und Bugs 6
In Diskussion JTL POS Kundennummer wird nicht an JTL Wawi übertragen JTL-POS - Fehler und Bugs 2
Kann ich eine email an die Wawi senden durch die dann ein neuer Auftrag generiert wird? (Daten müssen händisch vervollständigt werden...) JTL-Wawi 1.8 2
Issue angelegt [WAWI-75449] Artikel duplizieren - ASIN wird nicht mit dupliziert. JTL-Wawi - Fehler und Bugs 1
Neu Kommentar verschwindet nach Wawi-Abgleich JTL-Shop - Fehler und Bugs 3
Neu Update von Wawi 17.15.4. auf 18.12.0 geht nicht, weil Primary voll ist JTL-Wawi - Fehler und Bugs 4
Tablet Empfehlung für JTL-WaWi APP? JTL-Wawi App 0
Neu Kompatibilitätsliste JTL Shop & JTL Wawi Installation / Updates von JTL-Shop 2
Neu Email Vorlage erstellen Wawi 1.8.12.0 User helfen Usern - Fragen zu JTL-Wawi 7
Neu Email Vorlage in Wawi 1.8 erstellen Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 2
Neu Verbindungsproblem Wawi (1.8.12.0) zum JTL-Shop (5.2.4) über localhost User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL-Wawi mit Shopware/Magnalister User helfen Usern - Fragen zu JTL-Wawi 3
Neu Bestände von der Wawi mit ebay abgleichen User helfen Usern - Fragen zu JTL-Wawi 2
JTL Wawi Update 1.7.15.5 - Worker hat keinen Zugriff auf DB JTL-Wawi 1.7 6
I have faced an issue while the JTL Shop order has synchronized to the JTL WAWI 1.8 version. JTL-Wawi 1.8 0
Fehler beim Datenbank - JTL WAWI Connector WooCommerce-Connector 1
Fehlermeldung nach Speichern vom Auftrag in der Wawi JTL-Wawi 1.6 5
JTL WAWI 1.8.11.1 / JTL CONNECTOR / Shopware 6 JTL-Wawi 1.8 4
Neu WAWI Kategorien werden im Shop nicht angezeigt Gelöste Themen in diesem Bereich 3
Neu Erstinstallation JTL WaWi 1.8.12 - heruntergeladen wird SQL Express 2017 _statt_ der empfohlenen 2022 Version Installation von JTL-Wawi 8
In Bearbeitung JTL POS in der JTL-WaWi-Cloud Allgemeine Fragen zu JTL-POS 2
Wawi 1.8.11.1 fährt sich fest, keine Kundenhistorie JTL-Wawi 1.8 5
Anfanger mit JTL Wawi JTL-Wawi 1.7 13
Artikel wurden über Weclapp über FFN-Connect an JTL FFN übermittelt jedoch leider nicht an Wawi & WMS JTL-Wawi 1.8 0
Neu Suchen Mitarbeiter für 40h Festanstellung gern auch 100% Homeoffice für Produkt und Kategorie Pflege mit der Wawi Dienstleistung, Jobs und Ähnliches 0
Neu JTL Wawi Deployment Installation von JTL-Wawi 0
[JTL-WAWI API] Wie funktioniert die Item-Image API? JTL-Wawi 1.8 0
Neu jtl wawi Versanddatenexport Originalmeldung: In der Sendung trat mindestens ein harter Fehler auf. Code: 1101 Schnittstellen Import / Export 2
Neu ebay Versanddatum / Versandfrist "Versand bis..." in die Wawi holen, um Aufträge zu priorisieren eBay-Anbindung - Ideen, Lob und Kritik 0
[JTL-WAWI API] CaseSensitiv in der Create Sales Order JTL-Wawi 1.8 0
Neu Übertrag Daten in eine neu erstellte JTL Wawi JTL-Wawi 1.7 1
Neu BME Cat in Wawi bringen Schnittstellen Import / Export 0
Händlerrabatte sind nach Bestellung in JTL Wawi nicht ersichtlich JTL-Wawi 1.8 0

Ähnliche Themen