Hilfe & Support (deutsch)WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)
Nach Umszug von Strato auf 1und1 funzt Dirlist nicht mehr, beides bereits WB2.12
evaki:
Die nächste Testversion wäre jetzt schon fertig, wenn nicht, wie geahnt, noch ein Sicherheitaspekt hinzu käme. Die Suite meldet (Possible) CSRF auf dem niedrigsten Level.
--- Code: ---[Possible] Cross-site Request Forgery (low)
Form Name(s)
btn_file_6
btn_size_6
btn_date
Die befinden sich in modules/dirlist/htt/frontend.htt
Abhilfe
#Senden Sie in jedem HTTP-Request zusätzliche Informationen, anhand derer festgestellt werden kann, ob der Request von einer autorisierten Quelle stammt. Dieser "Validierungstoken" sollte für Angreifer, die noch keinen Zugriff auf das Benutzerkonto haben, schwer zu erraten sein. Wenn einem Request ein Validierungstoken fehlt oder der Token nicht dem erwarteten Wert entspricht, sollte der Server den Request ablehnen.
#Wenn Sie ein Formular in einer Ajax-Anfrage posten, können benutzerdefinierte HTTP-Header verwendet werden, um CSRF zu verhindern, da der Browser verhindert, dass Sites benutzerdefinierte HTTP-Header an eine andere Site senden, aber es Sites erlaubt, benutzerdefinierte HTTP-Header mit XMLHttpRequest an sich selbst zu senden.
For native XMLHttpRequest (XHR) object in JavaScript;
xhr = new XMLHttpRequest();
xhr.setRequestHeader('custom-header', 'value');
For JQuery, if you want to add a custom header (or set of headers) to
a. individual request
$.ajax({
url: 'foo/bar',
headers: { 'x-my-custom-header': 'some value' }
});
b. every request
$.ajaxSetup({
headers: { 'x-my-custom-header': 'some value' }
});
OR
$.ajaxSetup({
beforeSend: function(xhr) {
xhr.setRequestHeader('x-my-custom-header', 'some value');
}
});
Übersetzt mit www.DeepL.com/Translator
--- End code ---
Kommt hier ein "Validierungstoken" zum Zuge?
Frage: "Wer kanns und machts, welche Lösung auch immer?"
Oder gehörts in die Tonne (false positive)?
MfG. Evaki
DarkViper:
--- Quote from: evaki on June 07, 2018, 05:50:57 PM ---Nachtrag: Hab mal die von DV genommen, doch:
--- Code: ---There was an uncatched exception
syntax error, unexpected 'unset' (T_UNSET)
in line (121) of (\modules\dirlist\class_parser.php):
--- End code ---
--- End quote ---
in Zeile 120 fehlt nur eine schließende Klammer. ;) :oops:
sollte so sein:
public function delete($key)
{
if (array_key_exists($key, $this->data)) {
unset($this->data[$key]);
}
}
--- Quote from: evaki on June 07, 2018, 05:50:57 PM ---Zu beachten ist vielleicht, daß v23c die aktuelle ist, und dort alle class-Dateien nun mit Unterstrich statt Punkt versehen sind. Das war eine Möglichkeit mir viel Code-Gewusel zu ersparen.
--- End quote ---
War ned gaanz so gut , die Idee.. ;)
Die meisten Autoloader suchen in der Reihenfolge: Klasse.php > class.Klasse.php also erst ohne, dann mit Präfix 'class.'.
Soweit ich jetzt informiert bin, ist Dietmar dabei, immer weiter auf Nutzung des Autoloaders umzustellen, so dass endlich das ganze include, include_once, require, require_once Gemantsche verschwindet. Und da ist es eben sinnvoll, wenn bei Änderungen gleich die Standards dafür eingehalten werden.... gibt nachher weniger Arbeit.
evaki:
Na gut, dann eben nochmal von vorne, damit der "Autoloader" Zucker in den Hintern kriegt.
Versuche ja nur aus vorhandenem Code noch was zu machen.
Hätte, hätte Fahrradkette, hätte ich das naturlich nicht auf diese Weise gelöst.
Ist halt doof, wenn man kein Programmierer ist, sondern nur Code-Bastler und nur das nötigste dazu liest.
Aber schön positiv denken, man hat was dazu gelernt und das Essen schmeckte heute trotzdem noch.
MfG. Evaki
Craxx:
RESPEKT, klasse!!!
Es tut sich was, freue mich, weil so ein Modul echt für viele Anwendungsbereiche klasse ist. Danke schon mal dafür :-D
evaki:
Liegt schon wieder korrigiert und optimiert vor (v23e)
Aber wie einige Kommentare vorher schon erläutert, gehts erst mal um Sicherheit, auch wenn die klitzekleine Lücke für Spitzmäuse bisher (in all den Versionen vorher) noch nicht gefährdend in Erscheinung trat. Danach halt noch "die anderen Sachen". <ironie>Hab ja sonst nix um die Ohren</ironie)
Oft klappt das hier auch mit alten Modulen prima, wenns Unterstützung gibt, und man Biß hat. Man sollte aber wissen, daß es auch viele hoffnungslose Fälle gibt
MfG. Evaki
Navigation
[0] Message Index
[#] Next page
[*] Previous page
Go to full version