ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
Editor ohne Login aufrufbar

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Bugs ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6993

BeitragVerfasst am: 04.07.2014 19:35    Titel: Editor ohne Login aufrufbar Antworten mit Zitat

Grundsätzlich kann nicht viel passieren, wenn ein nicht eingelogter User den Editor via
/_editor/editor.php
aufruft, aber es werden SQL-Abfragen ausgeführt und auch Fehler produziert, die im Log Massen an SQL-Fehlermeldungen verursachen.

Ich habe nun in
/_editor/editor.php
/_editor/templates.php
/_editor/imageinserter.php
/_editor/imagepicker.php
die Zeile
Code:
require_once('../_include/common.inc.php');

durch das im Backend übliche
Code:
require_once('../_include/checkaccess.inc.php');

ersetzt.
So lässt sich der Editor nicht mehr von außen aufrufen.

Die in einigen Dateien vorhandene Zeile
Code:
require(CPO_BASEDIR."_include/check.php");

scheint keinen Effekt zu haben, denn sie verhält sich genauso wie im Code kommentiert
Zitat:
// no need to check if the user is not logged in

was ich persönlich anders sehe...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6993

BeitragVerfasst am: 05.07.2014 07:19    Titel: Antworten mit Zitat

Kaum ein paar Stunden später habe ich schon den Übeltäter: Bing bzw. msn-bot

Die Erkenntnis über die URL zum Editor kann dort nur dadurch erlangt werden, indem Benutzer ausgespäht werden, also z.B. deren Browserverlauf dokumentiert und genutzt wird, was beim IE ja Standard ist, aber auch durch Google-Toolbar, Ask-Toolbar etc. bezweckt wird.

Ich habe jetzt das Verzeichnis _editor in der robrots.txt gesperrt.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Bugs ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen