CT 5.0.6 Security Alert
Forumsregeln
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
Auch wenn hier der Support für phpBB 2 weiterhin aufrecht erhalten bleibt, weisen wir darauf hin, dass das phpBB 2 nicht mehr offiziell unterstützt und weiterentwickelt wird!
CT 5.0.6 Security Alert
Wenn ein Mitglied einen neuen Beitrag abschicken will, bekommt er folgende Fehlermeldung.
Was muss ich tun???????????????
/Holger
Edit: habe diesen Beitrag gefunden:
http://www.oxpus.de/viewtopic.php?p=74713#74713
Was muss ich tun???????????????
/Holger
Edit: habe diesen Beitrag gefunden:
http://www.oxpus.de/viewtopic.php?p=74713#74713
Zuletzt geändert von Holger am Di 04.Mär, 2008 16:28, insgesamt 1-mal geändert.
- KeineAhnung
- Beiträge: 349
- Registriert: Di 29.Mai, 2007 17:35
- Wohnort: NRW
- Kontaktdaten:
http://www.community.cback.de/download.php?id=2343
du musst den sogenantent debug mod einschalten dann nochmal schaffen das der fehle rkommt und dann steht in der debug anleitung wie man den beheben kann, joar ich habs am anfang auch nicht kapiert aber ich war ja auch der autor des posts und dann hab ichs verstanden
du musst den sogenantent debug mod einschalten dann nochmal schaffen das der fehle rkommt und dann steht in der debug anleitung wie man den beheben kann, joar ich habs am anfang auch nicht kapiert aber ich war ja auch der autor des posts und dann hab ichs verstanden
Zuletzt geändert von KeineAhnung am Di 04.Mär, 2008 16:39, insgesamt 1-mal geändert.
- KeineAhnung
- Beiträge: 349
- Registriert: Di 29.Mai, 2007 17:35
- Wohnort: NRW
- Kontaktdaten:
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Das ist der falsche Weg!Faktum ist, dass ich jetzt den Debug anlasse, bis sich CT ein wenig beruhigt hat.
Den Debugger NUR dann einschalten, wenn auch ein Fehler auftritt. Nicht dauerhaft laufen lassen, da das Board ansonsten nicht korrekt arbeiten könnte!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Hm, aber bis ich den Debugger eingeschaltet habe, ist das Problem wieder von selber verschwunden.
Ein Mitglied hatte einen Security Alert in posting.php gemeldet. Als er es das 2. Mal versucht hat, ging es ohne Alert durch.
Das finde ich ein bisschen nervig!
Ich habe nicht immer einen FTP-Client zur Hand um von false auf true umzustellen sobald ein Fehler auftritt.
Ein Mitglied hatte einen Security Alert in posting.php gemeldet. Als er es das 2. Mal versucht hat, ging es ohne Alert durch.
Das finde ich ein bisschen nervig!
Ich habe nicht immer einen FTP-Client zur Hand um von false auf true umzustellen sobald ein Fehler auftritt.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
http://www.mysqldumper.de
http://www.mysqldumper.se
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Ich habe Deine posting.php gerade mal etwas an den CT angepasst.
Vielleicht gehts jetzt besser.
Vielleicht gehts jetzt besser.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Ich hatte die posting schon nach dem Empfehlungen vom CT angepasst.
Die posting hat einen Clon: postingsupport
Was hast Du verändert? Dann ziehe ich das beim Clon nach!
Übrigens haben wir festgestellt, dass wenn man mit uploadpic Bilder hochlädt, die ein Leerzeichen enthalten, dann gibt es ein Security Alert beim Abschicken des Beitrages. Das gleiche Bild ohne Leerzeichen läuft durch.
Die posting hat einen Clon: postingsupport
Was hast Du verändert? Dann ziehe ich das beim Clon nach!
Übrigens haben wir festgestellt, dass wenn man mit uploadpic Bilder hochlädt, die ein Leerzeichen enthalten, dann gibt es ein Security Alert beim Abschicken des Beitrages. Das gleiche Bild ohne Leerzeichen läuft durch.
Real men don’t back up, they learn data recovery. ;-)
http://www.mysqldumper.de
http://www.mysqldumper.se
http://www.mysqldumper.de
http://www.mysqldumper.se
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Deine posting.php schaut nun so aus (am Anfang):
Öhm, wenn die Einzelwörter vom CT gesperrt sind, macht der dicht.
Debuggen eben, um das betreffende abzuschaltende Feld zu finden.
Aber beim ganzen Debuggen aufpassen, daß alle übernommenen Werte auch gesichert übernommen und auch sicher in den SQL-Anfragen eingefügt sind.
Nicht daß man die CT-Prüfungen abschaltet und dann das Script eine Lücke ins Forum reisst.
Code: Alles auswählen
include($phpbb_root_path . 'extension.inc');
define('CT_SECLEVEL', 'MEDIUM');
$ct_ignorepvar = array('message','helpbox');
include($phpbb_root_path . 'common.'.$phpEx);
Debuggen eben, um das betreffende abzuschaltende Feld zu finden.
Aber beim ganzen Debuggen aufpassen, daß alle übernommenen Werte auch gesichert übernommen und auch sicher in den SQL-Anfragen eingefügt sind.
Nicht daß man die CT-Prüfungen abschaltet und dann das Script eine Lücke ins Forum reisst.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
In der ctracker/engine/ct_security.php.
Du solltest aber genau überlegen, ob Du hier was von löscht!
Denn das führt dann zwangsweise zu einer geringeren Sicherheit des Boards!
Du solltest aber genau überlegen, ob Du hier was von löscht!
Denn das führt dann zwangsweise zu einer geringeren Sicherheit des Boards!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Der hardcoded Text ist ja Absicht, da der CT ohne DB-Anbindung auskommen muss und daher alles nur in einer Sprache funktionieren kann. Idealerweise dann englisch.
Klar, kann man auch phpmyadmin hier mit aufnehmen, wenn es dann nicht zu anderen Fehlern führt und posten kann man das dann auch nicht mehr
Klar, kann man auch phpmyadmin hier mit aufnehmen, wenn es dann nicht zu anderen Fehlern führt und posten kann man das dann auch nicht mehr
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Und in welcher Sprache?
Noch mal: Der CT verbindet sich zur Prüfung der Daten NICHT mit phpBB, hat also u. a. keine Spracheinstellungen zur Hand, um die richtige lang_cback_ctracker.php zu verwenden.
Daher eben nur pauschal die englische oder eben hardcoded Text...
Noch mal: Der CT verbindet sich zur Prüfung der Daten NICHT mit phpBB, hat also u. a. keine Spracheinstellungen zur Hand, um die richtige lang_cback_ctracker.php zu verwenden.
Daher eben nur pauschal die englische oder eben hardcoded Text...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
[quote="oxpus";p="85352"]Und in welcher Sprache? [/quote]
Hm? Sorry, verstehe ich nicht!
Die Datei kann doch übersetzt werden und in einem anderen lang-Ordner abgelegt werden ...
Du meinst, dass CT bei DER Überprüfung nicht auf die DB zurückgreift und daher nicht die Spracheinstellung des Users kennt?
Das würde ich verstehen, aber da die Fehlermeldung im Forum angezeigt wird, finde ich es komisch, dass es nicht in der User-Sprache angezeigt werden kann.
EDIT:
Hm? Sorry, verstehe ich nicht!
Die Datei kann doch übersetzt werden und in einem anderen lang-Ordner abgelegt werden ...
Du meinst, dass CT bei DER Überprüfung nicht auf die DB zurückgreift und daher nicht die Spracheinstellung des Users kennt?
Das würde ich verstehen, aber da die Fehlermeldung im Forum angezeigt wird, finde ich es komisch, dass es nicht in der User-Sprache angezeigt werden kann.
EDIT:
Ich dachte, das hilft vielleicht gegen die phpmyadmin-Anfragen, die aus dem Netz auf meinen Server einprasseln?Klar, kann man auch phpMyAdmin hier mit aufnehmen
Zuletzt geändert von Holger am Mi 05.Mär, 2008 15:55, insgesamt 1-mal geändert.
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Holger, da der CT nicht an phpBB angebunden wird, wenn er seine eigentliche Arbeit verreichtet, weiß er folglich auch nicht, welche Sprache der gerade am Board befindliche User, Bot, oder wer auch immer hat!
Daher kann auch nicht auf eine lang_cback_ctracker.php zurückgegriffen werden, ausser man verwendet einen der möglichen Pfade dahin, in der Regel dann eben englisch.
Was dann aber auch nur funktioniert, wenn jemand in seinem phpBB auch englisch als Sprache weiterhin installiert hat und verwendet.
Und da man hier nur mit Eventualitäten und Annahmen zu tun hätte, ist eben der Anzeigetext der Security Meldung hardcoded!
Und der CT zeigt nichts im Forum an, wenn er eine Security Meldung ausgibt
Zum Ausklammern des Wortes "phpmyadmin":
Wenn Du das im Ctracker machst, hat das an dieser Stelle wenig Sinn, da der nur im Forum selber ansetzt.
Hier müsste man alle Links mit dem Inhalt "phpmyadmin" bereits vom Webserver abfangen lassen und blocken/umleiten, was aber auch keinen wirklichen Sinn macht, denn dann kann es A. an einer anderen Stelle klemmen und B. es wird ja bereits ein 404er Fehler erzeugt.
Mehr wäre auch nur mehr Performanceverlust für den Server !
Daher kann auch nicht auf eine lang_cback_ctracker.php zurückgegriffen werden, ausser man verwendet einen der möglichen Pfade dahin, in der Regel dann eben englisch.
Was dann aber auch nur funktioniert, wenn jemand in seinem phpBB auch englisch als Sprache weiterhin installiert hat und verwendet.
Und da man hier nur mit Eventualitäten und Annahmen zu tun hätte, ist eben der Anzeigetext der Security Meldung hardcoded!
Und der CT zeigt nichts im Forum an, wenn er eine Security Meldung ausgibt
Zum Ausklammern des Wortes "phpmyadmin":
Wenn Du das im Ctracker machst, hat das an dieser Stelle wenig Sinn, da der nur im Forum selber ansetzt.
Hier müsste man alle Links mit dem Inhalt "phpmyadmin" bereits vom Webserver abfangen lassen und blocken/umleiten, was aber auch keinen wirklichen Sinn macht, denn dann kann es A. an einer anderen Stelle klemmen und B. es wird ja bereits ein 404er Fehler erzeugt.
Mehr wäre auch nur mehr Performanceverlust für den Server !
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!