Testversion 4.1.6
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Testversion 4.1.6
Ich habe die 4.1.6 auf einem XAMPP 1.8.1 mit PHP 5.4.7 installiert.
http://community.conpresso.de/viewtopic.php?t=4539
Folgendes ist mir aufgefallen:
- Versionsnummer zeigt noch 4.1.5
- das Einloggen im Backend scheitert mehrfach beim ersten Versuch wegen CSRF-Check (auf dem gleichen XAMPP habe ich jetzt schon 3 weitere 4.1.5 installiert und das zu keiner Zeit beobachtet)
to be continued...
Frage: Wo kann ich das Umwandeln aller doppelten Leerschritte in des Template-Editors wieder deaktivieren? Das hattest Du auf einen einzelnen Wunsch hin mal eingebaut, mir bereitet es aber mehr Probleme als Nutzen...
Wünsche:
Wäre schön das Thema CSS-Klassen besser in den Griff zu bekommen
http://community.conpresso.de/viewtopic.php?t=4138
Mr. Magpie gibt Dir sicher gerne die letzte Version weiter
http://community.conpresso.de/viewtopic.php?t=4539
Folgendes ist mir aufgefallen:
- Versionsnummer zeigt noch 4.1.5
- das Einloggen im Backend scheitert mehrfach beim ersten Versuch wegen CSRF-Check (auf dem gleichen XAMPP habe ich jetzt schon 3 weitere 4.1.5 installiert und das zu keiner Zeit beobachtet)
to be continued...
Frage: Wo kann ich das Umwandeln aller doppelten Leerschritte in des Template-Editors wieder deaktivieren? Das hattest Du auf einen einzelnen Wunsch hin mal eingebaut, mir bereitet es aber mehr Probleme als Nutzen...
Wünsche:
Wäre schön das Thema CSS-Klassen besser in den Griff zu bekommen
http://community.conpresso.de/viewtopic.php?t=4138
Mr. Magpie gibt Dir sicher gerne die letzte Version weiter
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Re: Testversion 4.1.6
Hallo Markus,
danke fürs Testen.
Ich vermute ein Session-Timingproblem beim Login aufgrund der Frames. Die Session wird ja bei einem Login neu gestartet, um eine neue ID zu generieren, usw. Ich kann mir nur vorstellen, dass manchmal einer der Frames schneller lädt und dann die Sessiondaten und damit auch die CSRF-Checks durcheinander wirbelt.
Ich kann es auch nicht immer nachvollziehen, sondern es passiert sehr unregelmässig.
Eine Überlegung ist, beim Login den CSRF-Check abzuschalten. Die Prüfung ist da nicht unbedingt nötig, weil das schlimmste, was ein Angreifer als Aktion ausführen könnte, ein Login ist. Dazu braucht er aber natürlich die passenden Logindaten.
Aber das ist mir auch schon aufgefallen. Ursache sind wohl die Editoren der Browser, die schon beim Editieren bei multiplen Leerzeichen aus dem ersten ein machen.
Prüfen kannst Du das, wenn Du in editor.js in die Funktion save() die folgende Zeile einbaust:
Schon beim Klick auf save, wird bei doppelten Leerzeichen ein übertragen.
Das muss ich mir genauer anschauen, weil ich reguläre natürlich nicht wieder entfernen möchte.
Zu dem Wunsch versuche ich mal Mr. Magpie zu erreichen.
Balu
danke fürs Testen.
Das ist so, weil die Versionsnummer immer als letztes vor einem offiziellen Release geändert wird.MarkusR hat geschrieben:- Versionsnummer zeigt noch 4.1.5
Ich habe gerade einen Supportfall bei einem Kunden, wo das in der 4.1.5 auch schon auftritt. Mir ist das bisher noch nicht aufgefallen.MarkusR hat geschrieben:- das Einloggen im Backend scheitert mehrfach beim ersten Versuch wegen CSRF-Check (auf dem gleichen XAMPP habe ich jetzt schon 3 weitere 4.1.5 installiert und das zu keiner Zeit beobachtet)
Ich vermute ein Session-Timingproblem beim Login aufgrund der Frames. Die Session wird ja bei einem Login neu gestartet, um eine neue ID zu generieren, usw. Ich kann mir nur vorstellen, dass manchmal einer der Frames schneller lädt und dann die Sessiondaten und damit auch die CSRF-Checks durcheinander wirbelt.
Ich kann es auch nicht immer nachvollziehen, sondern es passiert sehr unregelmässig.
Eine Überlegung ist, beim Login den CSRF-Check abzuschalten. Die Prüfung ist da nicht unbedingt nötig, weil das schlimmste, was ein Angreifer als Aktion ausführen könnte, ein Login ist. Dazu braucht er aber natürlich die passenden Logindaten.
Habe ich das? Was wir mal entfernt haben, ist die Umwandlung von in Leerzeichen, aber andersrum?MarkusR hat geschrieben:Frage: Wo kann ich das Umwandeln aller doppelten Leerschritte in des Template-Editors wieder deaktivieren? Das hattest Du auf einen einzelnen Wunsch hin mal eingebaut, mir bereitet es aber mehr Probleme als Nutzen...
Aber das ist mir auch schon aufgefallen. Ursache sind wohl die Editoren der Browser, die schon beim Editieren bei multiplen Leerzeichen aus dem ersten ein machen.
Prüfen kannst Du das, wenn Du in editor.js in die Funktion save() die folgende Zeile einbaust:
Code: Alles auswählen
alert(bse_conWin.document.body.innerHTML);
Das muss ich mir genauer anschauen, weil ich reguläre natürlich nicht wieder entfernen möchte.
Zu dem Wunsch versuche ich mal Mr. Magpie zu erreichen.
Balu
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Ich habe gerade entdeckt, daß es tatsächlich eine Übersetzung für
gibt, diese wird aber gar nicht benutzt!?!
Wenn Du nun schon Hand an diese Zeile legst, dann ergänze sie doch bitte so, daß eingeloggte Administratoren die RICHTIGE Meldung sehen, also z.B.
Danke!
Und vielleicht sollte die Übersetzung auch nicht lauten
sondern eher
Code: Alles auswählen
Sorry, an error occured while processing this request.
Wenn Du nun schon Hand an diese Zeile legst, dann ergänze sie doch bitte so, daß eingeloggte Administratoren die RICHTIGE Meldung sehen, also z.B.
Code: Alles auswählen
if ($GLOBALS['varDEBUG']<=0 && $_SESSION['SID_user']['admin']!=ROLE_ADMIN) $t = __('Sorry, an error occured while processing this request.');
Und vielleicht sollte die Übersetzung auch nicht lauten
Code: Alles auswählen
Leider ist bei der Bearbeitung dieser Anfrage ein Fehler aufgetreten.
Code: Alles auswählen
Leider ist bei der Bearbeitung dieser Datenbank-Abfrage ein Fehler aufgetreten.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Hacker wissen, was da passiert, solange es in Conpresso sonst keinerlei derartige Meldungen gibt.
Nur Kunden kriegen die Krise und man muss den üblichen "funktioniert nicht"-Meldungen nachgehen.
Und Du siehst ja auch wieviele "Webmaster" hier das schon als Bug gemeldet haben...
Warum steht das eigentlich nicht mit einem Wort im Handbuch?
Nur Kunden kriegen die Krise und man muss den üblichen "funktioniert nicht"-Meldungen nachgehen.
Und Du siehst ja auch wieviele "Webmaster" hier das schon als Bug gemeldet haben...
Warum steht das eigentlich nicht mit einem Wort im Handbuch?
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Das ganze wurde nach einem Security-Audit von einer externen Firma geändert, die korrekterweise darauf hingewiesen hat, dass man sonst zu viele Informationen an Hacker rausgibt.
Ein guter Hacker schaut sich den Code an und findet raus, dass es nur die eine Stelle betrifft.
Ein Scriptkiddie aber sieht sonst direkt "Ich ändere hier den Parameter und bekomme eine Fehlermeldung in der was von Datenbank steht. Gleich mal weiter ausprobieren."
Die Änderung, dass es Administratoren (übersetzt) angezeigt wird, habe ich vorgenommen. Man könnte das auch noch auf Redakteure herabsetzen, wobei die durch eine solche Datenbank-Fehlermeldung eher irritiert werden.
Balu
Ein guter Hacker schaut sich den Code an und findet raus, dass es nur die eine Stelle betrifft.
Ein Scriptkiddie aber sieht sonst direkt "Ich ändere hier den Parameter und bekomme eine Fehlermeldung in der was von Datenbank steht. Gleich mal weiter ausprobieren."
Die Änderung, dass es Administratoren (übersetzt) angezeigt wird, habe ich vorgenommen. Man könnte das auch noch auf Redakteure herabsetzen, wobei die durch eine solche Datenbank-Fehlermeldung eher irritiert werden.
Balu
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Damit wir uns richtig verstehen: Dem Admin soll das nicht (auch nicht übersetzt) angezeigt werden sondern die eigentliche Datenbankausgabe.Die Änderung, dass es Administratoren (übersetzt) angezeigt wird, habe ich vorgenommen.
$_SESSION['SID_user']['admin']!=ROLE_ADMIN
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Vorschläge:
a.) Wie wäre es, wenn bei fehlerhaften Abfragen die Meldung so lauten würde:
"Bei Aufruf der URL _rubric/index.php?rubric=1 ist ein Fehler aufgetreten. Melden Sie bitte diesen Fehler unter Angabe der URL ihrem Administrator"
oder
b.) es geht automatisch ein Mail an den Admin mit den Fehlerdetails (eingeloggter User, URL, Abfrage, Fehlermeldung)
oder
c.) das Ganze wird im System-Log eingetragen und kann somit auch später dokumentiert werden.
c wäre wohl das Beste...
Das alles natürlich nur für User < Admin, der Admin selbst soll die Meldungen direkt sehen können.
Bei Fehlern, die ein Einloggen verhindern bleibt dann ja noch das Auskommentieren oder varDebug > 0.
a.) Wie wäre es, wenn bei fehlerhaften Abfragen die Meldung so lauten würde:
"Bei Aufruf der URL _rubric/index.php?rubric=1 ist ein Fehler aufgetreten. Melden Sie bitte diesen Fehler unter Angabe der URL ihrem Administrator"
oder
b.) es geht automatisch ein Mail an den Admin mit den Fehlerdetails (eingeloggter User, URL, Abfrage, Fehlermeldung)
oder
c.) das Ganze wird im System-Log eingetragen und kann somit auch später dokumentiert werden.
c wäre wohl das Beste...
Das alles natürlich nur für User < Admin, der Admin selbst soll die Meldungen direkt sehen können.
Bei Fehlern, die ein Einloggen verhindern bleibt dann ja noch das Auskommentieren oder varDebug > 0.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Noch etwas:
in _admin/preview.php ist ein Leerzeichen zuviel, weshalb "in one week" nicht übersetzt wird.
muß werden zu
Das Gleiche gilt für das Verfallsdatum in _include/article_form.php
in _admin/preview.php ist ein Leerzeichen zuviel, weshalb "in one week" nicht übersetzt wird.
Code: Alles auswählen
__('in one week ')=>strtotime('7 days 00:00'),
Code: Alles auswählen
__('in one week')=>strtotime('7 days 00:00'),
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Wie ist der Stand der 4.1.6 ?
In nicht allzu langer Zeit muß ich einige Webauftritte umstellen...
Noch was: Beim Verschieben von Artikeln ist der HTML-Code etwas durcheinander.
Das FORM-Tag beginnt vor der Tabelle, endet aber mittendrin, außerdem wird zwar TBODY geöffnet, aber nicht mehr geschlossen.
so sieht es aus
so sollte es aussehen
In nicht allzu langer Zeit muß ich einige Webauftritte umstellen...
Noch was: Beim Verschieben von Artikeln ist der HTML-Code etwas durcheinander.
Das FORM-Tag beginnt vor der Tabelle, endet aber mittendrin, außerdem wird zwar TBODY geöffnet, aber nicht mehr geschlossen.
so sieht es aus
Code: Alles auswählen
<tr>
<td> </td>
<td>
<?php
echo '<input type="submit" class="button" value="'.___('move article').'"> ';
echo '<input type="submit" name="cancel" class="button" value="'.___('cancel').'">';
echo '</form>';
?>
</td>
</tr>
</table>
so sollte es aussehen
Code: Alles auswählen
<tr>
<td> </td>
<td>
<?php
echo '<input type="submit" class="button" value="'.___('move article').'"> ';
echo '<input type="submit" name="cancel" class="button" value="'.___('cancel').'">';
?>
</td>
</tr>
</tbody></table></form>
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- balu
- ConPresso-Entwickler
- Beiträge: 1748
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 81 Mal
- Danksagung erhalten: 133 Mal
Stand ist, dass wir sie gerade in zwei Projekten benutzen, um die Funktion zu testen.MarkusR hat geschrieben:Wie ist der Stand der 4.1.6 ?
Bei einem der beiden ist das Problem mit aktiviertem magic_quotes_GPC aufgetreten, ansonsten sieht es soweit gut aus.
Ursprünglich wollte ich noch das Überschreiben von Dateien ermöglichen. Aber dafür müsste ich eigentlich den Upload komplett überarbeiten, was eventuell zu Problemen mit Deinen Modulen führen würde. Darum schiebe ich das in die nächste Version, damit Du die Möglichkeit hast, das auch vorher anzupassen.
Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.
Balu
Bartels.Schöne
ConPresso Support & Development
ConPresso Support & Development
- MarkusR
- Handbuchversteher
- Beiträge: 7362
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 111 Mal
- Danksagung erhalten: 933 Mal
- Kontaktdaten:
Nach nun weiteren 4 Wochenenden wollte ich nochmal nachhaken, wie es um die 4.1.6 steht?20. Janaur 2013: balu hat geschrieben:Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- ConPresso-Newbie
- Beiträge: 1
- Registriert: 22.02.2013 12:17
Dies wäre auch für uns von hoher Relevanz.MarkusR hat geschrieben:Nach nun weiteren 4 Wochenenden wollte ich nochmal nachhaken, wie es um die 4.1.6 steht?20. Janaur 2013: balu hat geschrieben:Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.