WebsiteBaker Support (2.12.x) > Hilfe & Support (deutsch)

[Gelöst] mpform Fehlermeldung nach dem Senden

<< < (3/4) > >>

evaki:

--- Code: ---Insecure transition from HTTP to HTTPS in form post
Vulnerability description
This form is served from an insecure page (http) page. This page could be hijacked using a Man-in-the-middle attack and an attacker can replace the form target.
Affected items
/pages/kontakt.php
The impact of this vulnerability
Possible information disclosure.

How to fix this vulnerability
The form should be served from a secure (https) page.
--- End code ---

jacobi22:
offensichtlich wird per .htaccess eine Umleitung auf https erzwungen, in der config.php wurde aber die WB_URL aber nicht auf https geändert
Noch schlimmer wäre, wenn in der index.php des Templates alle Pfade hardcoded gesetzt wurden.

Der Post von Evaki ist dann das Ergebnis dieser Aktion, weil die Seite durch Einbindung der http-Link nicht mehr sicher ist, wird der Versand auch nicht sicher ausgeführt. Behebe das bitte erst einmal, dann das nächste Problem

tortellini62:
Hallo Leute,

habe den Fehler gefunden. Nach dem mich evaki & jacobi22 darauf gebracht haben, dass es mit https zu tun hat, hatte es geschnakelt. Es läuft jetzt alles bestens. Vielen Dank für eure Unterstützung. Die Umstellung in der config.php auf https war die Lösung.

PS: Es funktioniert auch, wenn man in den Optionen auf relative Pfade umstellt.

Beste Grüße

Tortellini62

PS: Wie kann ich denn den Post als Lösung oder gelöst markieren?

jacobi22:

--- Quote ---PS: Wie kann ich den den Post als Lösung oder gelöst markieren?
--- End quote ---

das geht nur max 15 min nach dem Schreiben des jeweiligen Postings oder mit Hilfe eines Admins

mrbaseman:
Hallo,


--- Quote from: jacobi22 on February 11, 2019, 01:35:42 PM ---offensichtlich wird per .htaccess eine Umleitung auf https erzwungen, in der config.php wurde aber die WB_URL aber nicht auf https geändert

--- End quote ---
na, dann lag ich mit meinen Vermutungen bzgl. WB_URL und redirects gar nicht so weit daneben. Aber die Weiterleitung war nur dann aktiv, wenn man Daten per "POST"-Methode geschickt hat. Die Seite ganz normal mit Get über http abzurufen hat ja funktioniert.



--- Quote from: jacobi22 on February 11, 2019, 01:07:44 AM ---ich erinnere mich, das es im Form-Modul auf einigen Servern (z.b. bei mir auf Stato) auch Probleme mit der aus $_SERVER['SCRIPT_NAME'] ermittelten aktuellen Adresse gab. Jetzt wird sie so ermittelt (modules/form/view.php ~Ln 122)


--- Code: ---$sScriptUrl = WB_URL.PAGES_DIRECTORY.$wb->page['link'].PAGE_EXTENSION ;
--- End code ---
mit nachfolgendem Schalter für eine mögliche short.php

--- End quote ---
ok, schau ich mir mal an.

--- Code: ---$url = $wb->page_link($wb->page['link']);

--- End code ---
wie in der include.php von show_menu2 ist vielleicht noch besser. Das liefert das gleiche Ergebnis und sollte mal an der page_link-Methode eine Verbesserung stattfinden, würde das Modul davon profitieren, da es die vom Core bereitgestellte Methode benutzt.


--- Quote ---@ Martin: Ein paar andere Sachen, die mir noch aufgefallen sind, vielleicht was für eine der nächsten Versionen?):

- die beiden Felder Anreise bzw Abreise zeigen einen Stern für required und bekommen beide auch die CSS-Klassen dafür. Beide Felder werden aber beim Versand nicht geprüft, hier fehlt m.E. ein required="required" bzw in HTML 5 ein einfaches required im jeweiligem Input-Feld

--- End quote ---
ok, da schau ich danach und gestern ist mir auch aufgefallen, dass der Feldtyp 'date' es in evalform gar nicht berücksichtigt wird. Das hat mich etwas stutzig gemacht und daher hab ich vorgeschlagen das mal nicht als Pflichtfeld zu machen. Wahrscheinlich ist es mit einem der generellen else-Zweige schon abgedeckt, aber der Code ist da zugegebenermaßen ziemlich verschachtelt. Muss ich mir nochmal anschauen, ob das da alles ganz richtig geprüft wird.


--- Quote ---- der Link zum Kalenderblatt hat einen doppelten Slash vor dem Bildnamen -> http://www.domain.de/modules/mpform/images//cal.png

--- End quote ---
lieber einer zu viel als einer zu wenig ;) - ok, schau ich mir an

Gruß Martin

Navigation

[0] Message Index

[#] Next page

[*] Previous page