SecurityPackage

[kummer]

das ganze wird in die nächste version eingebaut werden. dann dürfte es auch für eine mr-version lauffähig sein. vermute ich mindestens.

grundsätzlich spielt das gar keine rolle. sofern alle verwendeten get-parameter konfiguriert werden.

[DoroM]

d.h. sicherheitshalber aus allen Projekten erst mal das mr rausnehmen?

Und die neue Version abwarten. Kann man darauf auch updaten und den "Sicherheitspack" hat man dann mit drin?

Was meinst Du mit

grundsätzlich spielt das gar keine rolle. sofern alle verwendeten get-parameter konfiguriert werden.

Was spielt keine Rolle?

DoroM

[kummer]

ob es sich um eine mr-version handelt oder nicht. es müssen bloss alle betroffenen parameter konfiguriert sein. ich kenne allerdings die advanced mr zuwenig, um das schlüssig sagen zu können.

[pewe]

ch bin noch rel. neu hier; soweit noch nicht anderweitig gepostet/diskutiert, lohnt sich mal ein Blick auf suhosin (s. unter http://www.hardened-php.net/suhosin/index.html), um php-Anwendungen von der Basis her sicherer zu machen...

cu pewe

[DoroM]

bei Nicht-mr-Projekten scheint der Security check jedenfalls super zu funktionieren
Bei mir kommt nicht mal mehr der Editor durch.
Ist wohl noch nicht konfiguriert, es kommt die Meldung

Code: Alles auswählen

Parameter check failed! (action)

Wie kann ich das ändern?

für Hilfe dankbar
DoroM

[kummer]

Wie kann ich das ändern?

du kannst alle verwendeten parameter in der datei...

Code: Alles auswählen

atelierq.securityPackage.conf.inc.php

konfigurieren.

[DoroM]

ja, das hab ich schon verstanden, aber wie?
Wie kann ich den Editor ansprechen, bzw. wie ist die Syntax?

[kummer]

nun, der code ist ja dokumentiert. du findest zunächst folgende vier muster für reguläre ausdrücke:

* ATQINTEGER = ganzzahlwert
* ATQPRMITIVESTRING = einfache zeichenfolge
* ATQSTRING = komplexe zeichenfolge
* ATQHASH32 = hash mit 32 zeichen (z.B. md5)

dann muss für jeden get-parameter eine zeile aufgenommen werden:

Code: Alles auswählen

$this->check['GET']['meinParameter'] = ATQX;

meinParameter ersetzt du dabei durch den bezeichner des betroffenen parameters und ATQX durch die geeignete konstante. die regex-muster können natürlich angepasst werden, respektive es können neue muster hinzugefügt werden.

all clear?

[derSteffen]

Hallo,

ich habe auchgerade mal in meiner 4.6.4.x MR das eingebaut und bei mir kommen ebenfalls Fehlermeldungen:

Code: Alles auswählen

Warning: Cannot modify header information - headers already sent by (output started at /www/htdocs/wxxxxxxx/contenido/classes/atelierq.securityPackage.class.inc.php:1) in /www/htdocs/wxxxxx/conlib/session.inc on line 479

Außerdem werden meine Umlaute in � das hier umgeandelt. Wird denn ein anderer Zeichensatz ausgegeben?

Möchte ich in meinem Menü einen andere Seite aufrufen geht es nicht und Parameter check failed! (parts) wird angezeigt.

Deaktiviere ich MR in der config.php ändert sich trotzdem nichts und die Fehlermeldungen bleiben. Allerdings klappen die Menüs und ich kann auf eine andere Unterseite wechseln.

Wollte ich nur posten - vielleicht hilft es ja weiter.

MfG Steffen

[kummer]

das fragezeichen kommt durch utf-8. du musst vor dem hochladen vermutlich auf iso-8859-1 umstellen.

der hinweis parameter check failed! (parts) zeigt dir an, dass du den parameeter parts noch nicht konfiguriert hast. das ist ja die idee des ganzen, dass nichts mehr durchkommt, wenn es nicht konfiguriert ist.

der fehler, der erscheint, hängt vermutlich damit zusammen, dass sich vor dem php-eingangstag noch ein zeichen befindet. ich schätze, das problem löst sich auf, wenn man das zeichen weglöscht. vor dem php-eingangstag sollte gar nichts sein.

[derSteffen]

Richtig.

Die Lösung war das ich die Dateien noch einmal neu angelegt habe und hochgeladen habe. Die Leerzeichen hatte ich vorher schon vor dem <?php entfernt.

Danke.

Jetzt muss ich also rausfinden was in meine CMS-Version alles für Parameter verwendet werden und diese vorher in der atelierq.securityPackage.conf.inc.php definieren? Wie kriege ich das denn raus? Ich muss also jedes Modul überprüfen? Angefangen vom Gästebuch, Suchmodul, Bildergalerie, Kontaktformular, FTP etc?

Steffen

[kummer]

die post-parameter sind zunächst nicht wichtig. aber die get-parameter. du kannst einfach durch den auftritt surfen. sobald ein parameter verwendet wird, der noch nicht konfiguriert worden ist, erhälst du eine fehlermeldung mit angabe des parameterbezeichners. diesen musst du dann konfigurieren.

[derSteffen]

Also muss ich ersteinmal rausfinden was die MR-Version für get-parameter verwendet, um erst einmal durch die seite navigieren zu können.

MfG

[derSteffen]

Ich habe das in der readme-txt einer MR-Version gefunden:

Durch die .htaccess Datei werden der front_content.php neue
Variablen übergeben. Eine beispielhafte RewriteRule schaut
folgendermaßen aus:
RewriteRule ^([^/]+)/([^/]+)/(.*).html$ front_content.php?parts[]=$1&parts[]=$2&artname=$3 [QSA,L]
Die .htaccess Datei wurde deutlich vereinfacht, so dass ohne
Probleme eine weitere unterebene nach obigem schema hinzugefügt
werden kann.

Die neuen übergebenen Variablen lauten also (array) $parts
sowie (string) $artname.

Am Anfang der front_content.php werden diese Variablen durch
entsprechende Funktionen ausgewertet, welche dann die korrekten
IDs $idcat, $idart, $changelang und NEU $changeclient
zurückliefern, wenn diese korrekt in der url gesetzt wurden
und die ModRewrite Settings in der config.php dies vorsehen.

Also wären artname und parts meine Parameter?

[kummer]

ja. allerdings lassen sich im securityPackage zurzeit keine arrays konfigurieren. dazu müsste es noch angepasst werden.