ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
Provider sagt 'veraltet'...?

 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 499

BeitragVerfasst am: 20.07.2016 14:18    Titel: Provider sagt 'veraltet'...? Antworten mit Zitat

Hallo zusammen,

die Website eines Kunden (läuft unter CPO 4.1.6) wurde vom Provider zu einem angeblich sichereren Server umgezogen.
Dabei fand auch nebenbei ein PHP update auf 5.6 statt.

Die Seite läuft aus meiner Sicht auf dem neuen Server fehlerfrei, allerdings mailde der provider, dass Zitat: "Die Software wohl veraltet wäre, wodurch die mod_security Zeile getriggerd wird."
mit dieser Meldung:

Zitat:
[Wed Jul 20 14:31:58.099167 2016] [:error] [pid 10532] [client 185.48.101.178] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/cwaf/rules/01_Global_Generic.conf"] [line "46"] [id "211180"] [rev "1"] [msg "COMODO WAF: Session Fixation||www.milieuzorgzeist.nl|F"] [data "Matched Data: phpsessid found within REQUEST_HEADERS: 0"] [severity "CRITICAL"] [hostname "www.milieuzorgzeist.nl"] [uri "/cpo/_activiteiten/index.php"] [unique_id "V49vPrkbjv0AACkkOZwAAAAE"]


Für mich nur Bahnhof Wink

Kann damit jemand etwas anfangen? Und ist es etwas, worüber ich mir Sorgen machen sollte? Kann man etwas dagegen unternehmen?

Gruß,
dutch[/quote]


EDIT:
Das Problem ist wohl Session Fixation
Momentan ist es auch so, dass Leute, die schon mal auf der Seite waren (alter Server) bei erneutem Aufruf (neuer Server) immer eine alte Session ID an die Adresse gehängt bekommen und darum eine 'forbidden' Seite zu sehen bekommen.
Selbst den Browser-cache löschen hilft nicht, nur die manuelle Entfernung der session id aus der Adresszeile...

Shocked
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 20.07.2016 17:24    Titel: Antworten mit Zitat

Wie sind denn deine Systemeinstellungen?
Session in Datenbank speichern?

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 499

BeitragVerfasst am: 20.07.2016 18:13    Titel: Antworten mit Zitat

Ich habe da die Standardeinstellungen belassen, ist (war) also aktiv.
Ich habe es jetzt mal herausgenommen, aber das ändert am Problem scheinbar nichts...

Bei mir tritt das Problem auch nur im Edge auf.
Wenn ich dort den Domainnamen (mit oder ohne www) eingebe, haut er mir immer sofort den ganzen Pfad der Startrubrik hinten dran inkl. einer (alten) Session ID, und das, obwohl ich frisch den cache, history und so ziemlich alles andere gelöscht habe...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 20.07.2016 18:50    Titel: Antworten mit Zitat

Ist Deine index.php im root-Verzeichnis wirklich von CPO 4.1.6?

In älteren Versionen wurde die Session-ID angehängt, seit 4.1.5 ist das aber nicht mehr der Fall. Wenn doch dann verursacht das der Server und somit ist dieser selbst daran schuld.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 499

BeitragVerfasst am: 20.07.2016 20:07    Titel: Antworten mit Zitat

Ich habe die index in root zur Sicherheit nochmal mit der von 4.1.6 überschrieben aber leider bringt das auch keine Veränderung...

Warum passiert das nur im MS Edge? Im Firefox und Chrome klappt es bei mir. Beim Kunden leider nicht, aber das liegt vermutlich an ihm...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 20.07.2016 21:03    Titel: Antworten mit Zitat

Schwierig zu sagen, aber meines Wissens wird die Session-ID dann drangehängt, wenn das Sessionmanagement des Servers und/oder Cookies im Browser nicht funktionieren.

Wie sieht die index.php in / aus und wie die in /cpo/ ?

Wie ist session.use_trans_sid in der ohp.ini eingestellt?

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
dutch
ConPresso-Checker


Anmeldungsdatum: 04.07.2007
Beiträge: 499

BeitragVerfasst am: 21.07.2016 10:19    Titel: Antworten mit Zitat

Hallo Markus,

danke für die Tipps.
Ich wollte gerade deine Fragen beantworten aber sehe auch gerade, dass sich bei mir das Problem nun auch im Edge verflüchtigt hat...

Jetzt warte ich noch mal ab, ob es auch beim Kunden verschwunden ist.

Ich habe den Verdacht, dass da irgendwo eine Verzögerung beim Server war, wodurch sich die Änderungen (ausschalten der Session ID in den Systemeinstellungen) erst jetzt auswirken.

Ich beobachte weiter und melde mich wieder, falls es doch noch Probleme geben sollte.

Vielen Dank für die Hilfe!

Gruß,
dutch
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
uk170745
ConPresso-Newbie


Anmeldungsdatum: 12.07.2010
Beiträge: 7
Wohnort: Offenbach am Main

BeitragVerfasst am: 28.01.2017 17:49    Titel: umstellung auf PHP 5.6- Umlaute als Fragezeichen dargestellt Antworten mit Zitat

Provider: 1und1
Conpresso: 4.1.6
php 5.6
www.gag-buergel.de

Mit der Umstellung auf php 5.6. werden die Umlaute nicht mehr korrekt angezeigt. Auf Front End ebenso wie auf dem Back End.
Was kann ich tun?
Ulrich Krause
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 28.01.2017 17:57    Titel: Antworten mit Zitat

Ursache ist dass der Server die Seite als UTF-8 ausliefert.

Dein
Code:
<meta ini_set("default_charset", "iso-8859-1")>

im HTML-Header ist Quatsch.

Setze ans Ende von _include/common.inc.php folgendes
Code:
// force ISO
if (strtolower(ini_get('default_charset')) != 'iso-8859-1')
    header('Content-type: text/html; charset=ISO-8859-1');


edit: meinen FTP-Zugang hast Du wohl gelöscht, daher musst Du es selbst machen.

BTW: Du brauchst ganz dringend einen Editor mit Syntax-Highlighting damit Du fehlende Anführungszeichen sowie falsch geschriebene Tags siehst. Hat man einen Editor wie EditPlus, dann fallen einem die falschen Farben schnell ins Auge.





editor.gif
Klicken für Originalbild! editor.gif (43.95KB) - 39 mal angeklickt



_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
uk170745
ConPresso-Newbie


Anmeldungsdatum: 12.07.2010
Beiträge: 7
Wohnort: Offenbach am Main

BeitragVerfasst am: 29.01.2017 11:03    Titel: umstellung auf PHP 5.6- Umlaute jetzt ok Antworten mit Zitat

Very Happy Very Happy Danke, Markus. Es klappt. Back- und Frontend ok.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
uk170745
ConPresso-Newbie


Anmeldungsdatum: 12.07.2010
Beiträge: 7
Wohnort: Offenbach am Main

BeitragVerfasst am: 18.02.2017 20:03    Titel: Umlaute wieder falsch angezeigt Antworten mit Zitat

Hallo, Markus,
vor ein paar Tagen habe ich in _rubric/ in _local_footer.php eine kleine Erweiterung im Text vorgenommen.
Jetzt sind wieder die Umlaute im Frontend fehlerhaft dargestellt.
Im Backend ist die Anzeige richtig.
Was läuft schief?
Ich würde Dir auch den FTP und einen Admin-Zugang nennen, wenn Du mir Deine e-mail-Adresse schickst.
[...]
Gruss Ulrich
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 19.02.2017 11:37    Titel: Antworten mit Zitat

Sollte jetzt wieder gehen.

Die Datei _cfg/global_header.php war UTF-8+ (also mit BOM) codiert.

Da wurde vielleicht mit einem Editor dran geschraubt, der meint immer in UTF-8 abliefern zu müssen. Das kann man aber sicher einstellen.

Die Datei global_header_170125.php vom 25.1. ist noch ANSI-codiert (also ISO), die Datei global_header170218.php vom 13.2. aber bereits UTF-8+.
(das sind wohl irgendwelche "Belegexemplare", oder?)

Laut FTP-Log wurde die Datei zwischen
13/Feb/2017:18:47:42 UTC +1
und
13/Feb/2017:19:07:19 UTC +1
drei mal geändert.

Ab 18/Feb/2017:11:56:36 UTC +1 dann noch sieben mal.

Ich habe sie wieder auf ANSI umgestellt und alles funzt.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
uk170745
ConPresso-Newbie


Anmeldungsdatum: 12.07.2010
Beiträge: 7
Wohnort: Offenbach am Main

BeitragVerfasst am: 19.02.2017 11:53    Titel: Antworten mit Zitat

Danke, Markus.
Ich habe mit Editplus, Ultraedit und Editor (von Microsoft) mir die php-scripte angesehen bzw. geändert.
Ulrich
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 6975

BeitragVerfasst am: 19.02.2017 11:58    Titel: Antworten mit Zitat

Dann achte mal drauf welcher von denen UTF-8 erzwingt.
EditPlus macht das nicht, ich hätte da UltraEdit in Verdacht.
Oder Du meintest mal ein wenig mit Codierungen spielen zu müssen Wink

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> laufender Betrieb ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen