Provider sagt 'veraltet'...?

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Provider sagt 'veraltet'...?

Beitrag von dutch »

Hallo zusammen,

die Website eines Kunden (läuft unter CPO 4.1.6) wurde vom Provider zu einem angeblich sichereren Server umgezogen.
Dabei fand auch nebenbei ein PHP update auf 5.6 statt.

Die Seite läuft aus meiner Sicht auf dem neuen Server fehlerfrei, allerdings mailde der provider, dass Zitat: "Die Software wohl veraltet wäre, wodurch die mod_security Zeile getriggerd wird."
mit dieser Meldung:
[Wed Jul 20 14:31:58.099167 2016] [:error] [pid 10532] [client 185.48.101.178] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/cwaf/rules/01_Global_Generic.conf"] [line "46"] [id "211180"] [rev "1"] [msg "COMODO WAF: Session Fixation||www.milieuzorgzeist.nl|F"] [data "Matched Data: phpsessid found within REQUEST_HEADERS: 0"] [severity "CRITICAL"] [hostname "www.milieuzorgzeist.nl"] [uri "/cpo/_activiteiten/index.php"] [unique_id "V49vPrkbjv0AACkkOZwAAAAE"]
Für mich nur Bahnhof :wink:

Kann damit jemand etwas anfangen? Und ist es etwas, worüber ich mir Sorgen machen sollte? Kann man etwas dagegen unternehmen?

Gruß,
dutch[/quote]


EDIT:
Das Problem ist wohl Session Fixation
Momentan ist es auch so, dass Leute, die schon mal auf der Seite waren (alter Server) bei erneutem Aufruf (neuer Server) immer eine alte Session ID an die Adresse gehängt bekommen und darum eine 'forbidden' Seite zu sehen bekommen.
Selbst den Browser-cache löschen hilft nicht, nur die manuelle Entfernung der session id aus der Adresszeile...

:shock:
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Wie sind denn deine Systemeinstellungen?
Session in Datenbank speichern?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ich habe da die Standardeinstellungen belassen, ist (war) also aktiv.
Ich habe es jetzt mal herausgenommen, aber das ändert am Problem scheinbar nichts...

Bei mir tritt das Problem auch nur im Edge auf.
Wenn ich dort den Domainnamen (mit oder ohne www) eingebe, haut er mir immer sofort den ganzen Pfad der Startrubrik hinten dran inkl. einer (alten) Session ID, und das, obwohl ich frisch den cache, history und so ziemlich alles andere gelöscht habe...
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ist Deine index.php im root-Verzeichnis wirklich von CPO 4.1.6?

In älteren Versionen wurde die Session-ID angehängt, seit 4.1.5 ist das aber nicht mehr der Fall. Wenn doch dann verursacht das der Server und somit ist dieser selbst daran schuld.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ich habe die index in root zur Sicherheit nochmal mit der von 4.1.6 überschrieben aber leider bringt das auch keine Veränderung...

Warum passiert das nur im MS Edge? Im Firefox und Chrome klappt es bei mir. Beim Kunden leider nicht, aber das liegt vermutlich an ihm...
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Schwierig zu sagen, aber meines Wissens wird die Session-ID dann drangehängt, wenn das Sessionmanagement des Servers und/oder Cookies im Browser nicht funktionieren.

Wie sieht die index.php in / aus und wie die in /cpo/ ?

Wie ist session.use_trans_sid in der ohp.ini eingestellt?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Hallo Markus,

danke für die Tipps.
Ich wollte gerade deine Fragen beantworten aber sehe auch gerade, dass sich bei mir das Problem nun auch im Edge verflüchtigt hat...

Jetzt warte ich noch mal ab, ob es auch beim Kunden verschwunden ist.

Ich habe den Verdacht, dass da irgendwo eine Verzögerung beim Server war, wodurch sich die Änderungen (ausschalten der Session ID in den Systemeinstellungen) erst jetzt auswirken.

Ich beobachte weiter und melde mich wieder, falls es doch noch Probleme geben sollte.

Vielen Dank für die Hilfe!

Gruß,
dutch
uk170745
ConPresso-Newbie
Beiträge: 7
Registriert: 12.07.2010 12:34
Wohnort: Offenbach am Main

umstellung auf PHP 5.6- Umlaute als Fragezeichen dargestellt

Beitrag von uk170745 »

Provider: 1und1
Conpresso: 4.1.6
php 5.6
www.gag-buergel.de

Mit der Umstellung auf php 5.6. werden die Umlaute nicht mehr korrekt angezeigt. Auf Front End ebenso wie auf dem Back End.
Was kann ich tun?
Ulrich Krause
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ursache ist dass der Server die Seite als UTF-8 ausliefert.

Dein

Code: Alles auswählen

<meta ini_set("default_charset", "iso-8859-1")>
im HTML-Header ist Quatsch.

Setze ans Ende von _include/common.inc.php folgendes

Code: Alles auswählen

// force ISO
if (strtolower(ini_get('default_charset')) != 'iso-8859-1')
    header('Content-type: text/html; charset=ISO-8859-1'); 
edit: meinen FTP-Zugang hast Du wohl gelöscht, daher musst Du es selbst machen.

BTW: Du brauchst ganz dringend einen Editor mit Syntax-Highlighting damit Du fehlende Anführungszeichen sowie falsch geschriebene Tags siehst. Hat man einen Editor wie EditPlus, dann fallen einem die falschen Farben schnell ins Auge.
Dateianhänge
editor.gif
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
uk170745
ConPresso-Newbie
Beiträge: 7
Registriert: 12.07.2010 12:34
Wohnort: Offenbach am Main

umstellung auf PHP 5.6- Umlaute jetzt ok

Beitrag von uk170745 »

:D :D Danke, Markus. Es klappt. Back- und Frontend ok.
uk170745
ConPresso-Newbie
Beiträge: 7
Registriert: 12.07.2010 12:34
Wohnort: Offenbach am Main

Umlaute wieder falsch angezeigt

Beitrag von uk170745 »

Hallo, Markus,
vor ein paar Tagen habe ich in _rubric/ in _local_footer.php eine kleine Erweiterung im Text vorgenommen.
Jetzt sind wieder die Umlaute im Frontend fehlerhaft dargestellt.
Im Backend ist die Anzeige richtig.
Was läuft schief?
Ich würde Dir auch den FTP und einen Admin-Zugang nennen, wenn Du mir Deine e-mail-Adresse schickst.
[...]
Gruss Ulrich
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Sollte jetzt wieder gehen.

Die Datei _cfg/global_header.php war UTF-8+ (also mit BOM) codiert.

Da wurde vielleicht mit einem Editor dran geschraubt, der meint immer in UTF-8 abliefern zu müssen. Das kann man aber sicher einstellen.

Die Datei global_header_170125.php vom 25.1. ist noch ANSI-codiert (also ISO), die Datei global_header170218.php vom 13.2. aber bereits UTF-8+.
(das sind wohl irgendwelche "Belegexemplare", oder?)

Laut FTP-Log wurde die Datei zwischen
13/Feb/2017:18:47:42 UTC +1
und
13/Feb/2017:19:07:19 UTC +1
drei mal geändert.

Ab 18/Feb/2017:11:56:36 UTC +1 dann noch sieben mal.

Ich habe sie wieder auf ANSI umgestellt und alles funzt.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
uk170745
ConPresso-Newbie
Beiträge: 7
Registriert: 12.07.2010 12:34
Wohnort: Offenbach am Main

Beitrag von uk170745 »

Danke, Markus.
Ich habe mit Editplus, Ultraedit und Editor (von Microsoft) mir die php-scripte angesehen bzw. geändert.
Ulrich
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Dann achte mal drauf welcher von denen UTF-8 erzwingt.
EditPlus macht das nicht, ich hätte da UltraEdit in Verdacht.
Oder Du meintest mal ein wenig mit Codierungen spielen zu müssen :wink:
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Antworten