Tests & Probleme der SVN Revision 1374 - 2.8.2 RC

[Waldschwein]

Mal eben ausprobieren ist recht wenig.
Wer mit Strict und xml arbeitet muß damit arbeiten. ganz abgesehen davon, daß Objekte mehr als nur für ein Browserguck gut sind. Aber gut, war ja nur ein Vorschlag.

Das jetzige Mediencenter sollte meiner Meinung nach die Berechtigungs- / Sicherheitsgeschich ten in /admin haben, einen "Standard" Browser in /include oder als Modul, dann müsste man sich weder über object noch mit iframe Gedanken machen, weil jeder "seinen" Mediencenter nehmen kann - dann sogar strict und ohne JavaScript wenn es sein muss.

Gruß Michael

[HANS 0]

JO, oder so 

[Luisehahne]

Hi,

jetzt könnt ihr das Mediacenter quälen, habe die homefolders Geschichte überarbeitet. Ich zweifle allerdings an, dass Homefolder jemals so funktioniert hat, wie es in der Hilfe steht. Sieh nämlich auch die Mediaverwaltung in den Editoren.

Folgendes Passiert jetzt bei Aufruf des Mediacenter

User mit Homefolder wird in sein Verzeichnis weitergeleitet
User hat die Möglichkeit alle öffentlcihen Folder zu sehen aber nicht zu bearbeiten (löschen, umbennen)
In seinem Ordner darf er löschen und umbennen, wenn er die Rechte hat.

Das war jetzt soviel Arbeit, dass ich hoffe nichts vergessen zu haben. Also bitte intensiv testen.

Dietmar

[Waldschwein]

Hallo!

Sehr komische Sache mit R1430:

(Optional) 1.) Seite erstellen mit einem beliebigen Seitenmodul

2.) Eine beliebige Seite löschen
3.) Es kommt der Fehler
"Warning: unlink(C:\xampp\htdocs\web\wbtemp/pages/t3.php) [function.unlink]: Permission denied in C:\xampp\htdocs\web\wbtemp\framework\functions.php on line 763"
Page deleted successfully

4.) Die Seite / Abschnitte werden aus den Datenbanktabellen wb_pages und wb_sections gelöscht - aber nicht die Placebo Datei in dem /pages Ordner. Daher kann derselbe Name auch nicht wieder verwendet werden.

Edit: Gibt es eine Möglichkeit, das hartverdrahtete WYSIWYG Modul zu "entdrahten"? Also siehe /admin/pages/index.php Zeile 564: "if($module['directory'] == 'wysiwyg') {" Wenn man ein Modul außerhalb von /modules/wysiwyg erstellen möchte, stehen einige Möglichkeiten nicht zur Verfügung. Dass hierbei eine Anpassung bestehender Module ("Core-Replacements") ansteht, ist klar.

Gruß Michael

[Luisehahne]

start folder for users with a home folder is "/media/home_folder" shouldn´t it be "/media" ??

Wenn ich als User ein Homeverzeichnis habe, will ich erstmal da rein, Siehe Filemanager in Editoren, die lassen dich nur in das HomeFolder.

users with a assigned home folder can not create new folders in /media, just /media/my_home (which user/group can create folders which not)

Was wird allgemein gewünscht?

# it´s possible to browse other users home folders/files (browse.php?dir=X)
# it´s possible to rename public files/folders and other users home folders/files (rename.php?dir=X&id=Y)
# it´s possible to delete public files/folders and other users home folders/files (delete.php?dir=X&id=Y)

Das wird noch gefixt

the super admin (the one created during installation) sees ALL folders/files (bug/feature??)

Das muss so sein, Wie Werner schon geschrieben hatte, dies ist ein CMS,

the status messages does not always fit (e.g. forbidden folder --> "Directory does not exist" ...) (better: Directory does not exist or is not allowed)

Bleibt wie es ist. Das reicht als Meldung. Können natürlich einem Hacker noch mehr Details geben. "not allowed" reicht da nicht.

Zu bedenken ist auch die bestehende Rechteverwaltung, die nicht mehr zulässt. Ich kann natürlich alles zulassen. Entscheidet ihr. Jedenfalls hat das wie es in der Hilfe beschrieben ist, noch nie so funktioniert.

Was ich noch fixen kann, fixe ich und dann wars das für mich mit der Mediaverwaltung. Hab eh schon zuviel Zeit reingesteckt und bekomme jetzt nur Prügel dafür  . Da muss jedenfalls eine neue her.

backend tab settings seems to be stored in a Cookie, a more persistent (database) storage would be better

Auf keinen Fall, es wird für kein Backend Theme irgendein Tabelleneintrag in der Datenbank geben und auch nichts im Kern geändert.

Dietmar

[DarkViper]

I guess, it's the time now,  to say a few words about the Media-Management by WB (WBMM).

I read the online help for WBMM. I found that there are described a couple of misunderstandings and never existing functionality.
It's not our goal to make the WBMM compatible to the online-help.. But it is necessary to make the online-help compatible to to the real existing WBMM!


WB - Media-Management never is...

• ... a new kind of One-Click-Hosting
• ... a new kind of 'YouTube' or 'Flicker'
• ... any kind of personal storage 'Cloud'
• ... any kind of download service

What WB - Media-Management really is:

WBMM is an easy possibility for authors to store their mediafiles, which are needed for build the content, on the webspace.
Nothing more nothing less.
The design with 'home-folders' is been made to give more overview about all the stored files, if more then one authors are working on the site.
All files must be accessible by http-requests to everybody, otherwise they can not properly included (as i.e. images) in wysiwyg-sections.

That's all what the WBMM wants and also does.

If somebody needs an extensible functionality...
Where is the Problem?? Don't hesitate to write your own module, providing exactly this functions you need.

WebsiteBaker per definition is a modular system which can be expanded for a lot of posibilities.
It makes absolutely no sense inflating some built-in functions in a endless way.
Why a user a outsized module must load... if he only wants to manage a handful files?

The general direction of WebsiteBaker is:

• Make the code as secure as possible!
• Do it easy as possible!
• Do it as fast as possible!
• Never do load or execute a line of code which is not needed for the current job!

Remember:
WebsiteBaker is a pure ContentManagemantSystem. It is never a Community-System, never any kind of Social-Networking-System or something else.

-------
We do NOT recoding modules right now. At the moment we're fixing security issues and the strongest bugs only.

[DarkViper]

My object of posting in this thread (and sending some PMs) was to get the security flaws (directory traversals) in the media center fixed - nothing else (basically SVN 1428 plus missing delete fix).

... a real security issue, it is under work

Luisehahne was the person who announced that he would like to tackle the "home folder" thingy in 2.8.2. So for me it is just a matter of "missing" communication. Just make clear what you guys are willing to tackle in 2.8.2 and what not (as you tried in your last post).

,,, the actual behavior of 'homefolders' is buggy and will be corrected in the kind as described in my previous post above.
so a user (maybe better called 'author') has read permissions to any common files (which are uploaded by an 'admin') and full permissions to his own files in 'private area'(aka 'homefolder') but not in 'private area' of other authors.

[mr-fan]

,,, the actual behavior of 'homefolders' is buggy and will be corrected in the kind as described in my previous post above.
so a user (maybe better called 'author') has read permissions to any common files (which are uploaded by an 'admin') and full permissions to his own files in 'private area'(aka 'homefolder') but not in 'private area' of other authors.

would be real great if this would be possible! There is no real need for more features here..!

sorry but my work (summer, farm, harvest... you know) keep to much time to test "pre" RC SVN's....sorry

best regards
Martin

[Luisehahne]

Sorry, es sträuben sich mir die Nackenhaare, vielleicht können wir hier weiter deutsch schreiben. Wie wärs es denn noch mit Niederländisch oder Französisch. Oder alles in den Enlischen Bereich verlagern. Musste jetzt mal gesagt werden. Wenn ich im Englischen Bereich mal ausversehen deutsch schreibe, bekomme ich auch einen drauf.

Ausserdem versteht auch HAL9000 deutsch, wie ich feststellen konnte.

Wenn das hier so weiter geht, schmeiss ich die Homefoldergeschicht e wieder um und nicht wie es in der Hilfe beschrieben ist.

Kannst sowieso nicht mehr viel ändern. Sonst müsste die Rechteverwaltung geändert werden. Und da werde ich wegen der Module eh nicht drangehen.

Den Moduleauthoren hate ich ja bereits das Angebot gemacht, uns bei Fragen oder Probleme anzusprechen.

Dietmar

[Waldschwein]

Hallo!

Ruhig Blut - ich habe mir gerade einmal die WB 2.6.7 (!) installiert, die ja die Basis der Hilfe ist.

Dort wird die Homefolder so gehandhabt:

1.) Der Admin darf alles sehen.
2.) Ein "normaler" Benutzer sieht alles, außer Homefolder anderer Benutzer.
3.) Die Startseite ist immer (!) /media.
4.) Den FCKEditor - dort im Filebrowser wird das anders gehandhabt - gab es dort nicht. Der Filebrowser des damaligen Standard-Editors hat aber genau dieselbe Eigenheit - /media ist immer der Start, und nur Homefolder anderer Benutzer werden ausgeblendet.

Fazit: Ich würde es wünschen, wenn diese Logik wieder zurückkehrt. Um den FCK-Filebrowser kann ich mich kümmern. Also einen "Persönlichen Ordner" für jeden Benutzer - großartige Sicherheit muss es ja deswegen nicht geben.
Diese Logik von WB 2.6.7 finde ich nachvollziehbar, wenn sie überall - auch in den Filebrowsern der Editoren - ebenfalls so gehandhabt wird versteht jeder die Logik dahinter. Dass man nicht unbedingt seine Outlook .pst Datei dort hineinstellen sollte muss jedem sowieso so klar wie Kloßbrüh sein.

Gruß Michael

[HANS 0]

Jo, sinnvoll, wenn's dann auch fehelrfrei ist.

Am Rechtemanagement sollte man jetzt nicht mehr drehen.
Fein granuliert und OS-unabhängig dürfte das sowieso nicht "mal soeben" umsetzbar sein.

[Waldschwein]

Jo, sinnvoll, wenn's dann auch fehelrfrei ist.

Es geht ja nicht darum, dass man jetzt großartig das Mediencenter weiter verfrickelt bis zum geht nicht mehr. In 2.6.7 war zumindest die Homefolder Geschichte fehlerfrei - ja natürlich, wenn jemand den iframe Link manipuliert kann er auch in andere reingehen wie bisher, aber das ist nicht das Problem. Es ging mal, es war logisch und es hat sich wie ich in Erinnerung jetzt habe damals auch niemand beschwert. Ich habe das hier nur heraufbeschworen die - zugegeben etwas blöde Diskussion über ein Randfeature - weil man mal "/media" und nach neuladen mal "/media/mein/homefolder" und umgekehrt auch hatte, dazu noch im FCKEditor wieder ein anderes Verhältnis und ebenso bei den Listen zum Hochladen / Neuen Ordner erstellen. Wenn die "uralt-Logik" wieder zurückkommt sollte das doch am einfachsten zu machen sein, und jeder ist bissl glücklich.

@Dietmar: Sorry, ich wollte eigentlich ruhig sein nach skype, aber ich weiß, wie blöd es ist. Guck dir am Besten einfach mal die 2.6.7 an. http://www.websitebaker2.org/de/community/archiv.php

Gruß Michael

[Luisehahne]

Ist für mich ganz einfach, Homefolder bleibt Homefolder und nichst anderes. wie in den Editoren, Hatte es nur gut gemeint. Ist leider nciht immer gefragt

Dietmar

[HANS 0]

Wenn das Rechtemanagement "irgendwann" angegangen wird, stellt sich die Frage mit MEDIA automatisch neu. Jetzt "auf Teufel komm raus" scheint mehr Probleme und Mißverständnisse zu produzieren als nötig oder auch erwartet. Falls jetzt jemand DEN Kick hat/bekommt, ist das wahrscheinlich bei allen willkommen, aber eben nur wenn es  nicht neue Probleme nach sich zieht, wo wiederum viel Arbeit reingesteckt wird, die u.U. bei einem Neubeginn wieder verworfen werden muß. Dann jetzt lieber aktuelle SVN quälen und fixen, damit es in RC überführt werden kann.

[Waldschwein]

Ist für mich ganz einfach, Homefolder bleibt Homefolder und nichst anderes. wie in den Editoren, Hatte es nur gut gemeint. Ist leider nciht immer gefragt

Dietmar

Gut, ich nehme aber an, die Homefolder, wie sie momentan im FCKEditor Filemanager ist und nicht, wie in den "damaligen" Editoren? Ich habe mich nur länger nicht beschäftigt mit dem Thema und finde es recht komisch, dass mittlerweile so viele unterschiedliche Interpretationen des Homefolders seit 2.8 vorhanden sind. Aber gut, sei es drum - fällt eh eher unter Usability-Fehler als unter Sicherheit und Usability ist immer etwas Geschmackssache.

Gruß Michael

[HANS 0]

So, noch ein Schnappschuss, bei dem wohl einige zufrieden waren:
User -und Home Verzeichnisse

[hellblazer]

@Hans: auch nett Schau an ... der aldus.

Müsste man eigentlich nur ein wenig erweitern; nachsehen, ob der Pfad aus dem $_GET array
mit $currentHome zusammenliegt - in etwas so.
Kann sein, das das an anderer Stell so, oder so ähnlich, schon mal gepostet/gecodet wurde;
if so - i'll apologize.

File: browse.php
Line: ~80 (86? no idea)

Code: [Select]

<?php
/**
 * Get the current dir
 *
 */
$currentHome = $admin->get_home_folder();
$get_dir = $admin->strip_slashes($admin->get_get(&#39;dir&#39;));
$directory = (($currentHome) AND (!array_key_exists(&#39;dir&#39;,$_GET)))
? 
$currentHome
:
( false === strpos($get_dir, $currentHome) ) ? $currentHome : $get_dir; // more or less elegant

?>

Dann ist zumindest mit dem Manipulieren in der Browserzeile "essig".

Regards
Hellblazer

[assembler_68lc040]

Hm ... suboptimal ...
Das kann Probleme mit dem Admin-Account geben, wenn der keinen Ordner angegeben hat,
und die Condition in der letzen Zeilen immer "false" ausgibt. Dann kommst Du in keine Unterordner mehr.

Sorry, Helly
Alexandra

[aldus]

Hallo

Jo - an der Stelle hab ich auch schon Zähne gelassen - und Zahnersatz ist teuer.
$currentHome kann ein leerer String sein, führt dann zu einer Warning-Message; umgekehrt kann
auch ein User sowohl-als-auch Admin-Rechte haben, und trotzdem einen Ordner zugewiesen bekommen.
Das ist nicht mit ein-zwei Zeilen PHP-Code erweitern getan - leider.

@Hellblazer -> was_meinst_du_mit ("schau an"); 
Naja - und $get_dir würde ich die Var auch nicht nennen wollen - kann man zu schnell mit einer Funktion verwechseln
(ist aber eh nun marginal).

Gruß
Aldus

[hellblazer]

@aldus
[off_topic class='privat' op='frei_zu_loeschen']

Code: [Select]

<?php

class history
{
static public function was_meinst_du_mit($aQuestion="") {
switch( strtolower($aQuestion) ) {
case &#39;schau an ... der aldus&#39;:
return "(Altes »AVZ« der UB -> Director 8) && netlingo(&#39;pear&#39;) && drp_xString2 || kurz: director-online; &#39;irv & co&#39; ";
break;

default:
return "nothing";
}
}
}
?>

"Static", Aldus, "Static calls" - Dafür brauche ich keine (dauerhafte, 'rellativ gemeint') Instanz!

Und, ok, kann mich auch irren, aber bei der Art zu coden/schreiben? Z.B. den boolschen Wert links (alter PEAR Hase)?

[/offtopic]
Oh Grauss - ein kandidat zum löschen ...

@assembler
Jo ... ist mir auch aufgefallen ... mist aber auch ... und @aldus jo - geb' ich zu ... keine __leichte__ Fingerübung am Rande ...

Regards
Hellblazer

[HANS 0]

Sehr frische SVN eingetroffen r1433 (noch nicht abgehangen)
MEDIA wurde überarbeitet

[Luisehahne]

JA genau, bin noch nicht dazu gekommen zu schreiben. Das einzige Problem was ich noch habe, die Hauptseite des Mediacenter mit den Daten aus dem Iframe zu aktualsieren. Javascript ist nicht unbedingt die Lösung für mich, da dies sich abschalten lässt.

Werde ich also anfangen mich hinzusetzen und ein Mediacenter ohne IFrame zu erstellen. Der Code sollte soweit laufen, Die Hauptseite kann im Moment nur über einen Reload oder den Link neben der Option "Neu laden" aktualisiert werden.

Die Hauptseite soll sich aber von alleine aktulisieren um die Rechte zu setzen.

Mehr später, bin im Stress. Vielleicht kann ich das jemanden mal erklären und der fasst das in Schriftform zusammen. Bin nicht unbedingt sicher on meine deutsche readme im Ordner admin/media verstanden wird.

Nur so kurz. Home folder ist jetzt unbenannt in Persönlicher Ordner, Bin da Michael gefolgt. Dies ist ein CMS un deswegen ist die Beschreibung passender als Home Folder.

Zur Rechteverwaltung, vielleicht kann dann auch Werner was zu sagen, wenn ich nicht verstanden werde.

So es gibt eine Reihe von Usern mit einem persönlichen Ordnern, die verschiedenen Gruppen angehören. Ein User, auch mit einem persönlcihen Ordner, bekommt zusätzlcih die Gruppe Adminsiatrator. Nicht zu verwechseln mit dem Superadmin, der beim installieren angelegt wird.

Für jede weitere Gruppe die ich diesem Gruppen-Adminstaror zuweise, ist er wie ein Abteilungsleiter zuständig ud kann Ordner und Dateien, umbenennen und löschen. Hmm wirds schwierig, am besten ihr speilt mal so einiges durch. Dann werdet ihr auch verstehn warum der IFrame weg muss. Nicht vergessen beim Ordnerwechsel eine Reload zu machen.  Soll auf jeden Fall kein Dauerzustand sein und macht auch keinen Sinn.

Dietmar

[Waldschwein]

Hallo,

werde das mal später testen, wenn der Balkon gestrichen ist und sämtliche Hitzschläge auskuriert sind.
Achja: Ich bin mit Hans nach wie vor nicht einer Meinung, nämlich dass es egal ob <iframe> oder <object> gehupft wie gesprungen ist, weil beides im Prinzip dasselbe ist und nur das eine böse ist weil das Wort frame drinnensteckt, das andere aber zu 99,8% genau dasselbe ist. Wenn ohne iframe dann natürlich auch ohne object, sonst gibt's nur Probleme bei geschätzen 25% aller User, die einen Adblock installiert haben, weil <object> wesentlich öfters geblockt wird.

Gruß Michael

[HANS 0]

Hehe  
Na, dann gibt's halt mal 'nen Hinweis auf einen "kleinen Unterschied": Bei object braucht man z.B. nicht zwingend JS, außer in den Fällen wo das Objekte selbst (Objektinhalt) Scripting verlangt (z.B. Flash). (Ja, sehr vereinfacht...)
Wenn Blocker object unterdrücken, können sich die Leute die Seiten auch mit 'nem Lynx-Browser angucken oder damit in's BE gehen. Viel Spaß dabei. Wer im BE arbeitet hat in der Regel nix zu blocken, damit alle Funktionen genutzt werden können. Eine Ausnahme ist hier nur der Referrer.

Ansonsten ist das Thema wohl keines mehr, wenn ich "Luisehahne" richtig verstanden habe. Er nimmt 'nen "div wrapper"

[Waldschwein]

Hallo!

Zu Ticket 1049 wegen den Tabs http://project.websitebaker2.org/ticket/1049:
Ich kann es nachvollziehen was Matthias gemeldet hat.
Bei mir wird nichts gespeichert - das heißt, ich muss jedes Mal nach dem Beenden der Session (z.B. über Ausloggen oder Schließen des Browsers) erst auf "Show Tabs" und dann auf "Tabs ein/aus".
Ein Cookie im Backend wird hier nämlich über das Beenden der Session gleich mitgelöscht - z.B. die Webdeveloper Toolbar zeigt dies an.
Ein einfacher "Tabs ein/aus" Button wäre einfacher. Es geht um das einzige Standard-Interface, andere Backend-Themes sind unwichtig momentan, weil sich im Zuge der Änderungen im Traum keiner daran wagen wird, bis nicht die nächste Stable-Version erhältlich ist.

Gruß Michael