Testversion 4.1.6

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Testversion 4.1.6

Beitrag von MarkusR »

Ich habe die 4.1.6 auf einem XAMPP 1.8.1 mit PHP 5.4.7 installiert.
http://community.conpresso.de/viewtopic.php?t=4539

Folgendes ist mir aufgefallen:
- Versionsnummer zeigt noch 4.1.5
- das Einloggen im Backend scheitert mehrfach beim ersten Versuch wegen CSRF-Check (auf dem gleichen XAMPP habe ich jetzt schon 3 weitere 4.1.5 installiert und das zu keiner Zeit beobachtet)

to be continued...

Frage: Wo kann ich das Umwandeln aller doppelten Leerschritte in   des Template-Editors wieder deaktivieren? Das hattest Du auf einen einzelnen Wunsch hin mal eingebaut, mir bereitet es aber mehr Probleme als Nutzen...

Wünsche:
Wäre schön das Thema CSS-Klassen besser in den Griff zu bekommen
http://community.conpresso.de/viewtopic.php?t=4138
Mr. Magpie gibt Dir sicher gerne die letzte Version weiter
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Re: Testversion 4.1.6

Beitrag von balu »

Hallo Markus,

danke fürs Testen.
MarkusR hat geschrieben:- Versionsnummer zeigt noch 4.1.5
Das ist so, weil die Versionsnummer immer als letztes vor einem offiziellen Release geändert wird.
MarkusR hat geschrieben:- das Einloggen im Backend scheitert mehrfach beim ersten Versuch wegen CSRF-Check (auf dem gleichen XAMPP habe ich jetzt schon 3 weitere 4.1.5 installiert und das zu keiner Zeit beobachtet)
Ich habe gerade einen Supportfall bei einem Kunden, wo das in der 4.1.5 auch schon auftritt. Mir ist das bisher noch nicht aufgefallen.

Ich vermute ein Session-Timingproblem beim Login aufgrund der Frames. Die Session wird ja bei einem Login neu gestartet, um eine neue ID zu generieren, usw. Ich kann mir nur vorstellen, dass manchmal einer der Frames schneller lädt und dann die Sessiondaten und damit auch die CSRF-Checks durcheinander wirbelt.

Ich kann es auch nicht immer nachvollziehen, sondern es passiert sehr unregelmässig.

Eine Überlegung ist, beim Login den CSRF-Check abzuschalten. Die Prüfung ist da nicht unbedingt nötig, weil das schlimmste, was ein Angreifer als Aktion ausführen könnte, ein Login ist. Dazu braucht er aber natürlich die passenden Logindaten.
MarkusR hat geschrieben:Frage: Wo kann ich das Umwandeln aller doppelten Leerschritte in   des Template-Editors wieder deaktivieren? Das hattest Du auf einen einzelnen Wunsch hin mal eingebaut, mir bereitet es aber mehr Probleme als Nutzen...
Habe ich das? Was wir mal entfernt haben, ist die Umwandlung von   in Leerzeichen, aber andersrum?

Aber das ist mir auch schon aufgefallen. Ursache sind wohl die Editoren der Browser, die schon beim Editieren bei multiplen Leerzeichen aus dem ersten ein   machen.

Prüfen kannst Du das, wenn Du in editor.js in die Funktion save() die folgende Zeile einbaust:

Code: Alles auswählen

alert(bse_conWin.document.body.innerHTML);
Schon beim Klick auf save, wird bei doppelten Leerzeichen ein   übertragen.

Das muss ich mir genauer anschauen, weil ich reguläre   natürlich nicht wieder entfernen möchte.

Zu dem Wunsch versuche ich mal Mr. Magpie zu erreichen.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ich habe gerade entdeckt, daß es tatsächlich eine Übersetzung für

Code: Alles auswählen

Sorry, an error occured while processing this request.
gibt, diese wird aber gar nicht benutzt!?!

Wenn Du nun schon Hand an diese Zeile legst, dann ergänze sie doch bitte so, daß eingeloggte Administratoren die RICHTIGE Meldung sehen, also z.B.

Code: Alles auswählen

if ($GLOBALS['varDEBUG']<=0 && $_SESSION['SID_user']['admin']!=ROLE_ADMIN) $t = __('Sorry, an error occured while processing this request.');
Danke!

Und vielleicht sollte die Übersetzung auch nicht lauten

Code: Alles auswählen

Leider ist bei der Bearbeitung dieser Anfrage ein Fehler aufgetreten.
sondern eher

Code: Alles auswählen

Leider ist bei der Bearbeitung dieser Datenbank-Abfrage ein Fehler aufgetreten.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Die Fehlermeldung wird möglichst unspezifiert ausgegeben, damit Hacker nicht sehen können, dass sie da auf einen Datenbank-Bug gestossen sind.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Hacker wissen, was da passiert, solange es in Conpresso sonst keinerlei derartige Meldungen gibt.

Nur Kunden kriegen die Krise und man muss den üblichen "funktioniert nicht"-Meldungen nachgehen.
Und Du siehst ja auch wieviele "Webmaster" hier das schon als Bug gemeldet haben...
Warum steht das eigentlich nicht mit einem Wort im Handbuch?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Das ganze wurde nach einem Security-Audit von einer externen Firma geändert, die korrekterweise darauf hingewiesen hat, dass man sonst zu viele Informationen an Hacker rausgibt.

Ein guter Hacker schaut sich den Code an und findet raus, dass es nur die eine Stelle betrifft.

Ein Scriptkiddie aber sieht sonst direkt "Ich ändere hier den Parameter und bekomme eine Fehlermeldung in der was von Datenbank steht. Gleich mal weiter ausprobieren."

Die Änderung, dass es Administratoren (übersetzt) angezeigt wird, habe ich vorgenommen. Man könnte das auch noch auf Redakteure herabsetzen, wobei die durch eine solche Datenbank-Fehlermeldung eher irritiert werden.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Die Änderung, dass es Administratoren (übersetzt) angezeigt wird, habe ich vorgenommen.
Damit wir uns richtig verstehen: Dem Admin soll das nicht (auch nicht übersetzt) angezeigt werden sondern die eigentliche Datenbankausgabe.

$_SESSION['SID_user']['admin']!=ROLE_ADMIN
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Vorschläge:

a.) Wie wäre es, wenn bei fehlerhaften Abfragen die Meldung so lauten würde:
"Bei Aufruf der URL _rubric/index.php?rubric=1 ist ein Fehler aufgetreten. Melden Sie bitte diesen Fehler unter Angabe der URL ihrem Administrator"

oder

b.) es geht automatisch ein Mail an den Admin mit den Fehlerdetails (eingeloggter User, URL, Abfrage, Fehlermeldung)

oder

c.) das Ganze wird im System-Log eingetragen und kann somit auch später dokumentiert werden.

c wäre wohl das Beste...

Das alles natürlich nur für User < Admin, der Admin selbst soll die Meldungen direkt sehen können.

Bei Fehlern, die ein Einloggen verhindern bleibt dann ja noch das Auskommentieren oder varDebug > 0.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Noch etwas:

in _admin/preview.php ist ein Leerzeichen zuviel, weshalb "in one week" nicht übersetzt wird.

Code: Alles auswählen

__('in one week ')=>strtotime('7 days 00:00'),
muß werden zu

Code: Alles auswählen

__('in one week')=>strtotime('7 days 00:00'),
Das Gleiche gilt für das Verfallsdatum in _include/article_form.php
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Wie ist der Stand der 4.1.6 ?

In nicht allzu langer Zeit muß ich einige Webauftritte umstellen...

Noch was: Beim Verschieben von Artikeln ist der HTML-Code etwas durcheinander.

Das FORM-Tag beginnt vor der Tabelle, endet aber mittendrin, außerdem wird zwar TBODY geöffnet, aber nicht mehr geschlossen.

so sieht es aus

Code: Alles auswählen

            <tr>
                <td>&nbsp;</td>
                <td>
                    <?php 
                    echo '<input type="submit" class="button" value="'.___('move article').'">&nbsp;'; 
                    echo '<input type="submit" name="cancel" class="button" value="'.___('cancel').'">';
                    echo '</form>';
                    ?>
                </td>
            </tr>
        </table>

so sollte es aussehen

Code: Alles auswählen

            <tr>
                <td>&nbsp;</td>
                <td>
                    <?php 
                    echo '<input type="submit" class="button" value="'.___('move article').'">&nbsp;'; 
                    echo '<input type="submit" name="cancel" class="button" value="'.___('cancel').'">';
                    ?>
                </td>
            </tr>
        </tbody></table></form>
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

MarkusR hat geschrieben:Wie ist der Stand der 4.1.6 ?
Stand ist, dass wir sie gerade in zwei Projekten benutzen, um die Funktion zu testen.

Bei einem der beiden ist das Problem mit aktiviertem magic_quotes_GPC aufgetreten, ansonsten sieht es soweit gut aus.

Ursprünglich wollte ich noch das Überschreiben von Dateien ermöglichen. Aber dafür müsste ich eigentlich den Upload komplett überarbeiten, was eventuell zu Problemen mit Deinen Modulen führen würde. Darum schiebe ich das in die nächste Version, damit Du die Möglichkeit hast, das auch vorher anzupassen.

Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

20. Janaur 2013: balu hat geschrieben:Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.
Nach nun weiteren 4 Wochenenden wollte ich nochmal nachhaken, wie es um die 4.1.6 steht?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
jaehne_hsz
ConPresso-Newbie
Beiträge: 1
Registriert: 22.02.2013 12:17

Beitrag von jaehne_hsz »

MarkusR hat geschrieben:
20. Janaur 2013: balu hat geschrieben:Je nachdem, was in den Projekten jetzt noch auffällt, wird nächstes Wochenende noch eine Vorabversion veröffentlicht oder die endgültige Version.
Nach nun weiteren 4 Wochenenden wollte ich nochmal nachhaken, wie es um die 4.1.6 steht?
Dies wäre auch für uns von hoher Relevanz.
Benutzeravatar
balu
ConPresso-Entwickler
Beiträge: 1748
Registriert: 01.01.1970 01:00
Hat sich bedankt: 81 Mal
Danksagung erhalten: 133 Mal

Beitrag von balu »

Ich arbeite gerade noch mit Markus an den letzten Korrekturen, da er eine größere Website hat, die umgestellt wird und er dort auch verschiedene eigene und fremde Module mittesten kann.

Es kann sich also nur noch um "Stunden" handeln.

Balu
Bartels.Schöne
ConPresso Support & Development
Benutzeravatar
hscha
ConPresso-Experte
Beiträge: 714
Registriert: 22.02.2006 22:00
Wohnort: Berlin
Hat sich bedankt: 216 Mal
Danksagung erhalten: 26 Mal
Kontaktdaten:

Beitrag von hscha »

Lieber Balu,

wie sieht es nach 192 Stunden bei euch aus? Nicht stressen lassen, aber die Umstellung bei 1&1 rückt näher und ich frage mich, ob ich für meine Webauftritte CPO mit allen Modulen selbst anpassen muss...
:oops: es sind erst 191 Stunden -sorry :D

Grüße von
Horst
Antworten