WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)
Tests & Probleme der SVN Revision 1374 - 2.8.2 RC
Waldschwein:
Hallo!
Ok, es ist nun klar. Ich weiß, dass es sehr schwierig ist das vorhandene WB richtig abzusichern, und natürlich meistens das Neucoden wesentlich sinnvoller erscheint. Nur habe ich eben die Angst, dass bis es zum richtigen neucoden kommt so viele Fehler aufkommen, dass viele Leute sich nach Alternativen umsehen und neue abgeschreckt werden.
Aber man ist auf dem richtigen Weg, das bezweifle ich natürlich nicht.
So, neues SVN, neues Glück:
SVN1409 (upgrade von SVN 1404 unter PHP 5.3.1 / XAMPP 1.7.3).
In den Settings ist die Option "Dateien nach dem Hochladen umbenennen". Mit der SVN 1409 ist Upload generell nicht mehr möglich, sofern hier etwas eingetragen ist.
Das finde ich ist sehr gut, ebenfalls bei .ZIP (habe nur vorher etwas gestutzt, aber ich habe vergessen, das Überschreiben zu aktivieren... :| ).
Für das jetzige Mediencenter in 2.8.2 (und evtl. auch später) würde ich die Sprachdateien anpassen von
"Datei nach Hochladen umbenennen" in "Folgende Dateitypen nicht hochladen".
Im Englischen: "Rename Files On Upload" sollte zu "Do not upload following file formats".
Ich persönlich würde für ein zukünftiges Mediacenter weit nach 2.8.2 vorschlagen:
- Dateien werden über den Mediencenter (oder die API, die dies anbietet und Module darauf zurückgreifen, wie z.B. der (F)CKEditor Dateibrowser) hochgeladen, eine andere Möglichkeit geht nicht (außer FTP).
- Alle Dateien werden bei dem Hochladen umbenannt, also z.B. aus „meinbild1.jpg“ wird „234jdsfsaf_23fjf3ks73ks53kfs“.
- In der WB-Datenbank gibt es den Schlüssel dazu, der die unbrauchbare Datei wieder zu einer brauchbaren umfunktioniert, sodass der Benutzer, der Admin und sonst jeder jeder denkt, das würde „meinbild1.jpg“ heißen. Sagt man aber WB manuell, dass es /media/meinbild1.jpg für etwas nehmen soll funktioniert es nicht, weil die Datei ja in Echt nicht funktioniert.
- Unbedingt müssen auch Ordner und Dateien verknüpft werden mit Berechtigungen. Alle Schlüssel werden auch gleich noch an den WB-Benutzer gekoppelt, so dass der (außer er hat einen FTP-Browser) schlichtweg an die ganzen Dateien nicht rankommt.
- Ist alles natürlich wohl soweit ich dies sehe nur mit .htaccess möglich. Irgendwo muss man aber einen Kompromiss eingehen.Ich sehe gerade, es müsste sogar ohne .htaccess gehen.
Desweiteren wäre zukünftig eine "Whitelist" viel sinnvoller als eine "Blacklist". Also: "Erlaube folgende Dateitypen" anstatt "Schließe folgende Dateitypen aus".
Gruß Michael
Waldschwein:
Noch etwas:
Die "Tabs Yes / No" Funktion klappt weder in Chrome 5 noch in Firefox 3.6 bei mir. Also egal was man macht, er setzt sich immer zurück, ohne eine Auswahl zu behalten.
Zudem ist der Button äußerst schwer zu bedienen (nur die Punkte kann man anklicken, den ganzen Button aber auch) in Chrome und sieht nicht schön aus.
Das Ganze wäre viel einfacher, wenn man einfach die ganze Tab-Funktion in eine if-Abfrage packt und eben nur ausführt, wenn auf "Ja" gesetzt ist. In meinem Backup-Theme war das ja bereits umgesetzt.
Zudem ist es mir schleierhaft, wieso als Tab nicht auf jQuery zurückgegriffen wird, damit vermeidet man viele Probleme. Zudem ist Tabber Lizenzrechtlich bedenklich (MIT).
Auch sind zwei "Show Advanced Options" eine zu viel. Die innerhalb des Tabs sollte man entfernen.
Edit: Und noch etwas - momentan hat die "Optionen" 44 HTML Fehler und 8 Warnungen. Allerdings nur in "Advanced".
Gruß Michael
Luisehahne:
Kann ich so nicht bestätigen. Getestet mit Chrome 5.0.375 sowie FireFox 3.6.3. Keine Probleme. Ich kann dir das gerne über Skype vorführen.
Das mit den Checkboxen ist auch noch experimentell und wird noch geändert.
--- Code: ---Auch sind zwei "Show Advanced Options" eine zu viel. Die innerhalb des Tabs sollte man entfernen.
--- End code ---
Das würde ich mir gerne bei dir anschauen. Ich habe nur eine "Show Adbanced Options" wenn Tabs an sind, ansonsten sollte es wie vorher aussehen. Irgendwas läuft da bei dir verkehrt
Ob mit Jquery oder Tabber kann später jeder für sich selber entscheiden. Die Geschmäcker sind nunmal verschieden.
--- Code: ---Und noch etwas - momentan hat die "Optionen" 44 HTML Fehler und 8 Warnungen. Allerdings nur in "Advanced".
--- End code ---
Was erwartes du, schau dir den Quelltext an, In Suchoptionen werden innerhalb der Textareas Templates gesetzt, das passt dann garnicht.
Dietmar
HANS 0:
Für R1410 geht Dir (Luisehahne) per PM ein Sicherheitscheck zu.
Waldschwein:
Hallo!
Super, die SVN 1410/1411 behebt fast alle Kritikpunkte.
Bis auf die durch SVN 1407 veraltete Sprachdatei würde ich sagen, dass diese SVN recht RC1-haft aussieht.
Noch etwas:
In der install/save.php Zeile 453 von
." ('rename_files_on_upl oad', 'php,asp,phpx,aspx'),"
bitte in
." ('rename_files_on_upl oad', 'php,asp,phpx,aspx,phtml'),"
ändern.
Das ist zwar Quick&Dirty, aber führt zum Erstummen einiger Kritiker und je nach Serverkonfiguration eben auch zu mehr Sicherheit. Auch wenn kaum jemand phtml für etwas nehmen wird, deswegen auch umso mehr.
Das upgrade-script muss es ja nicht updaten, das soll dann jeder Admin selbst entscheiden.
Gruß Michael
Navigation
[0] Message Index
[#] Next page
[*] Previous page
Go to full version