Editor ohne Login aufrufbar

Dieses Forum enthält Diskussionen zu Bugs in ConPresso 4 und deren Lösungen.
Antworten
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Editor ohne Login aufrufbar

Beitrag von MarkusR »

Grundsätzlich kann nicht viel passieren, wenn ein nicht eingelogter User den Editor via
/_editor/editor.php
aufruft, aber es werden SQL-Abfragen ausgeführt und auch Fehler produziert, die im Log Massen an SQL-Fehlermeldungen verursachen.

Ich habe nun in
/_editor/editor.php
/_editor/templates.php
/_editor/imageinserter.php
/_editor/imagepicker.php
die Zeile

Code: Alles auswählen

require_once('../_include/common.inc.php');
durch das im Backend übliche

Code: Alles auswählen

require_once('../_include/checkaccess.inc.php');
ersetzt.
So lässt sich der Editor nicht mehr von außen aufrufen.

Die in einigen Dateien vorhandene Zeile

Code: Alles auswählen

require(CPO_BASEDIR."_include/check.php");
scheint keinen Effekt zu haben, denn sie verhält sich genauso wie im Code kommentiert
// no need to check if the user is not logged in
was ich persönlich anders sehe...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Kaum ein paar Stunden später habe ich schon den Übeltäter: Bing bzw. msn-bot

Die Erkenntnis über die URL zum Editor kann dort nur dadurch erlangt werden, indem Benutzer ausgespäht werden, also z.B. deren Browserverlauf dokumentiert und genutzt wird, was beim IE ja Standard ist, aber auch durch Google-Toolbar, Ask-Toolbar etc. bezweckt wird.

Ich habe jetzt das Verzeichnis _editor in der robrots.txt gesperrt.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Antworten