Wichtiges Update - 2.0.15

Sicherheit des Webservers, der Server und rund um phpBB
Benutzeravatar
volker58
Beiträge: 724
Registriert: Mo 27.Dez, 2004 19:22
Wohnort: Annaberg-Buchholz
Kontaktdaten:

Beitrag von volker58 »

wenn ich ins acp will
Gruss Volker

http://www.fuchsienfreunde.de
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Hallo Oxpus,

wie Du im ANhang erkennen kannst, ist da nichts hinter!
Benutzeravatar
volker58
Beiträge: 724
Registriert: Mo 27.Dez, 2004 19:22
Wohnort: Annaberg-Buchholz
Kontaktdaten:

Beitrag von volker58 »

habe es mal so versucht

Code: Alles auswählen

redirect(append_sid("../login.$phpEx?redirect=admin/index.$phpEx&admin=1", true));
da komm ich in die login, aber er leitet mich nicht weiter in das acp, kommt immer wieder das eingabefenster ohne fehlermeldung
Gruss Volker

http://www.fuchsienfreunde.de
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

@volker58
Nimm mal

Code: Alles auswählen

redirect(append_sid($phpbb_root_path."login.$phpEx?redirect=admin/index.$phpEx&admin=1", true));
@karstenkurt
Die Datei scheint logisch korrekt zu sein. Ich kann zumindest keine fehlende Klammer finden und auch sonst keinen Fehler feststellen.
Nur ein Test ist mir aktuell nicht möglich.
Was hast Du denn zuletzt geändert? Prüfe das nochmal, bzw. lade die Datei nochmal neu hoch. Vielleicht ist dabei was schief gelaufen.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Hallo Oxpus,

hab eigentlich nur das Update durchgeführt! Werds heute abend mal wieder ausbaun. Mal sehen vieleicht finde ich ja was!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

[quote="karstenkurt - Mo 09.Mai, 2005 15:33";p="31133"]Hallo Oxpus,

hab eigentlich nur das Update durchgeführt! Werds heute abend mal wieder ausbaun. Mal sehen vieleicht finde ich ja was![/quote]

Probiere mal bitte die Zeile 1362 auszuschneiden und unter 1360 einzufügen.

Eventuell muss der Browser gezwungen werde, die Seiten vom Server noch einmal
runter zu laden (CTRL-F5 bzw. STRG-F5), sollte die Fehlermeldung noch mal aufkommen.
Bleibt aber trotzdem die Fehlermeldung war meine Idee Müll.

Ich hatte vor kurzen auch so ein Problem, obwohl alles korrekt war. Es lag dann an meinen
unlogischen wilden kommentieren ( // ) von diversen Zeilen.


Gruß Stöbi
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Werd das heute abend mal ausprobieren. Das Problem mit den wilden Kommentare hab ich auch immer wieder:)
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

[quote="karstenkurt - Mo 09.Mai, 2005 16:05";p="31137"]Werd das heute abend mal ausprobieren. Das Problem mit den wilden Kommentare hab ich auch immer wieder:)[/quote]

Die Zeile 1362 ausschneiden und unter 1360 einfügen schrieb ich, dann funktioniert das aber
immer noch nicht, ich habe das eben mal ausgetestet.

Aber so funktioniert es wirklich. ;)

Jetziger Zustand:

Code: Alles auswählen

		//2.0.15
		$message = str_replace('"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
		//$message = str_replace('"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . str_replace('\\', '\\\\', $highlight_match) . ")\b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
So funktionierts, ohne etwas hin und her zu verschieben. ;)

Code: Alles auswählen

		/*2.0.15*/
		$message = str_replace('"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . $highlight_match . ")\b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));
		/*$message = str_replace('"', '"', substr(@preg_replace('#(\>(((?>([^><]+|(?R)))*)\<))#se', "@preg_replace('#\b(" . str_replace('\\', '\\\\', $highlight_match) . ")\b#i', '<span style="color:#" . $theme['fontcolor3'] . ""><b>\\\\1</b></span>', '\\0')", '>' . $message . '<'), 1, -1));*/



Gruß Stöbi
Zuletzt geändert von Stoebi am Mo 09.Mai, 2005 17:14, insgesamt 2-mal geändert.
Benutzeravatar
tom10
Beiträge: 1106
Registriert: Sa 29.Jan, 2005 14:58
Kontaktdaten:

Beitrag von tom10 »

So, ich hab das Update nun auch drin. Danke für die Anleitungen usw.
Zuletzt geändert von tom10 am Mo 09.Mai, 2005 18:27, insgesamt 3-mal geändert.
Benutzeravatar
LaraCroft
Beiträge: 277
Registriert: Fr 10.Sep, 2004 10:14
Wohnort: Weinheim
Kontaktdaten:

Beitrag von LaraCroft »

[quote="modbo - Mo 09.Mai, 2005 11:09";p="31077"]@Lara: Verdammt, das ist beim copy & paste verloren gegangen. Entschuldigung![/quote]

Och musst dich nicht entschuldigen die Fehlersuche hat mir gut getan ;-)
<b>\"Der Kopf eines Mannes taugt nur dazu, dass eine Frau ihn verdreht.\"</b>
Angelina Jolie
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Danke Stoebi,

das wars!

Nun krieg ich beim Aufruf des ACP immer ein Drectory-Listing? MAl schauen was hier vorher noch so alles stand!

Edit:
Komisch, jetzt ist der Fehler auch weg. Ohne das ich rgendwas gemacht habe! Phpbb hat "selbstheilende" Software geschrieben :)
Zuletzt geändert von karstenkurt am Mo 09.Mai, 2005 21:09, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Nicht ganz: Dein Browser hatte nur begriffen, daß die Seite neu ist und den Cache aktualisiert ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Ist mir dann auch eingefallen!
schmidtedv
Beiträge: 607
Registriert: So 13.Feb, 2005 10:46
Wohnort: St. Blasien (seit 01.06)
Kontaktdaten:

Beitrag von schmidtedv »

So, jetzt auch mal mein Senf zum 2.0.15 bzw. ne abschließende Frage an die Sicherheit....kann man sich die Admin-Extra-Abfrage nicht schenken? Für welche Fälle wäre die interessant? Wenn 2 Benutzer den gleichen PC nutzen? Ich hab' (und hoffe, das korrekt gemacht zu haben) alles eingebaut bis auf die Admin-Funktion da ich sowieso eine andere Cookie-Session-Berechnung drin habe etc. und da kam mir die neue sicherheitsfunktion doch eher als Schikane denn als notwendig vor. Klingt für mich eher wie Sicherheitskurs für anfänger im Sinne von "Haben Sie einen Virenscanner installiert?" Vielleicht habe ich da ja auch unrecht und die Sicherheitsfunktion dieses Updates macht wirklich was besonderes/anderes. In dem Fall bitte ich um Aufklärung :-)
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Hab das auch wieder ausgebaut!
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ist eine rein philisophische Frage.
Ich denke aber, daß jedes Quentchen Sicherheit das Board länger ohne ständiges manuelles Eingreifen läuft.
OXPUS.de ist jedenfalls vom ersten Online-Tag an nicht einmal wegen einer Sicherheitslücke geschlossen gewesen oder gehackt worden.
Bis jetzt :(
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

Ich hab nichts gegen Sicherheit, ich hab aber etwas dagegen, wenn sogenannte Sicherheiten
einen aufgezwungen werden.

Sicherheitsfeatures als Optionen finde ich hervorragend und der Programmierer ist auch
aus dem Schneider, wenn derjenige diese Sicherheiten nicht anwenden möchten.

Vielleicht kann man das so vergleichen:
Ich hab eine massive Eingangstür mit extra metallischer Verkleidung und entsprechenden
Verriegelungsschloß. Man braucht schon seine Zeit, um bei mir einzubrechen.
Aber ich bestimme, wann ich für mich meinen muss, die Tür zu verriegeln (meist Abends nach 21:00 Uhr, oder wenn ich das Haus verlasse).


Gruß Stöbi
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

An die Zeit errinnere als man noch mitr Overflow schnell und effizient an den Admin Posten kam. (übrigens geht das immernoch wenn man da nicht ein .htaccess oder ne neue php Version hat) Einfach ne längere Zeichenkette an den Adminlink schicken und durch den Overflow biste mitten im Geschehen. Jaja ;_; aufgrund solch einfacher Aktionen bau ich jede mögliche Sicherheitslücke sofort zu und zwar mit allen mitteln. ^^
Nur ein Informatik Student. ^^
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Aber wenn ich es richtig verstanden habe, ist das Kennwort fürs ACP doch dasselbe wie das des Admin. Somit, wenn ich das Admin-Kennwort habe, komm ich auch da weiter. Schöner finde ich die Möglichkeit des EasyMods ein anderes Kennwort zuvergeben!
Deshalb finde ich es nicht sinnvoll, den Admin-Bereich per Admin-Kennwort zu schützen!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

[quote="Bootenks - Do 12.Mai, 2005 07:43";p="31459"]An die Zeit errinnere als man noch mitr Overflow schnell und effizient an den Admin Posten kam. (übrigens geht das immernoch wenn man da nicht ein .htaccess oder ne neue php Version hat) Einfach ne längere Zeichenkette an den Adminlink schicken und durch den Overflow biste mitten im Geschehen. Jaja ;_; aufgrund solch einfacher Aktionen bau ich jede mögliche Sicherheitslücke sofort zu und zwar mit allen mitteln. ^^[/quote]

Ja klar, spricht ja auch absolut nichts dagegen. Dieser Art von Schutz würde ich auch sofort
durchführen.

Nur Sicherheitsfeatures, die viele Soft bietet, sollten halt keinen aufgezwungen werden.
Sie können standardmässig aktiv sein, aber ich möchte die Möglichkeit der Deaktivierung
haben.

Ich möchte für mich selbst entscheiden, welche Einschränkungen ich für mehr Sicherheit
in Kauf nehme.

Sicherlich darf ich dann hinterher nicht jammern, wenn mein Forum "gehackt" wurde.
Es ist mir aber immer noch lieber, als von allen und jeden reglementiert zu werden.
Nach dem Motto: friss oder stirb


Gruß Stöbi
Zuletzt geändert von Stoebi am Do 12.Mai, 2005 08:23, insgesamt 1-mal geändert.
Benutzeravatar
karstenkurt
Beiträge: 597
Registriert: Do 31.Mär, 2005 20:20
Kontaktdaten:

Beitrag von karstenkurt »

Wie kann ich das mit der langen Zeichenkette ausprobieren? Würde gerne mal mein Forum darauf testen.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

[quote="karstenkurt - Do 12.Mai, 2005 07:57";p="31460"]Aber wenn ich es richtig verstanden habe, ist das Kennwort fürs ACP doch dasselbe wie das des Admin. Somit, wenn ich das Admin-Kennwort habe, komm ich auch da weiter. Schöner finde ich die Möglichkeit des EasyMods ein anderes Kennwort zuvergeben!
Deshalb finde ich es nicht sinnvoll, den Admin-Bereich per Admin-Kennwort zu schützen![/quote]

Das ist richtig, aber mal sollte ja auch gerade als Admin nicht Passwörter wie "meinboard" verwenden (kein Schwerz, selber schon gesehen!).
Und dazu dient die ACP-Anmeldeabfrage nur dazu, die Identität des Admins nochmal extra zu bestätigen. Nicht daß hier jemand z.B. mit einer geklauten SID einbrechen kann oder Module ungerechtfertigter Weise einzeln aufrufen kann.
Ein 2. Passwort für das ACP wäre hier natürlich klasse, aber das wäre dann wirklich übertrieben.
Ist eben so sicher, wie z.B. eine EC-Karte...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
blondi
Beiträge: 1091
Registriert: Do 30.Sep, 2004 14:36

Beitrag von blondi »

hallo karstenkurt...

ich hoffe du verstehst dass, das

Code: Alles auswählen

Wie kann ich das mit der langen Zeichenkette ausprobieren? Würde gerne mal mein Forum darauf testen.
hier nicht ohne weiteres gepostet wird da sonst eventuelle spinner das nachmachen würden...

liebe grüsse


ps...

mach update deiner php version auf min. 4.3.10 und deine board version auf 2.0.15 und bau die gängigsten sicherheits patches ein und von sonny noch den cracker tracker dann bist du ziemlich sicher vor solchen attacken...
Antworten