Author Topic: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?  (Read 1977 times)

Offline hgs

  • Betatester
  • **
  • Posts: 1127
    • EFG MG
Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« on: October 30, 2015, 07:36:53 AM »
Hallo zusammen
WB 2.8.3 SP1
PHP 5.5 (CGI)

Hatte gestern eine kleine Autorenschulung.
Mein Client Win 8.1
Schüler Client ein Appel-Client IOS?

Alles hat funktioniert:
Bilder ins Mediencenter auf den vorgesehenen Ordner hochladen
Text in neue versteckte Unterseiten einfügen und speichern und im FE anschauen.
Externe und WB- Links setzen, speichern und anschauen

Dann sollten die hochgeladenen Bilder die Seite bereichern.
Bild einfügen und formatieren. OK im BE
Bild mit colorbox pimpen keine Fehlermeldung
Speichern --> hier kommt dann die Schutzverletzung beim IOS-Client
Mit den Autorendaten auf meinem Win-Client angemeldet, hier wird alles ausgeführt.

Wir haben das ganze mit 2 Usern und 2 Gruppen getestet.
Die Seiten waren für die Gruppen zur Bearbeitung freigegeben
Der IOS-Client will einfach keine Bilder speichern. :-(

Hat jemand eine Idee?
Danke
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline Martin Hecht

  • Betatester
  • **
  • Posts: 589
  • Gender: Male
    • meine Homepage
Re: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« Reply #1 on: October 30, 2015, 06:28:00 PM »
Sicherheitsverletzu ng klingt immer nach einem Problem mit den FTANs (Ein Sicherheitseature, im Backend, das dafür sorgt, dass Formulardaten nur dann entgegengenommen werden, wenn sie von der zuletzt ausgelieferten Formularseite kommen. Ohne hier jetzt auf die Details geschaut zu haben, würd ich vermuten, dass bei diesen Arbeitsschritten eine zweite FTAN angefordert wurde, bevor das offene Formular abgeschickt wurde. Es könnte helfen, in den Admin-Tools im SecureForm Switcher auf den Multitab-Modus zu wechseln.

PS: das ist ein Bereich, der mit dem nächsten SP überarbeitet wird. Die künftige Lösung soll hier flexibler werden...

Offline hgs

  • Betatester
  • **
  • Posts: 1127
    • EFG MG
Re: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« Reply #2 on: November 01, 2015, 04:27:42 PM »
Hallo Martin
Danke für deine Antwort.

Da ich aber alle Webseiten auf Multitab-Modus laufen habe und der gleiche USER mit dem WIN-Client ohne Fehlermeldung arbeiten konnte, scheint der Fehler woanders zu liegen.

Die neue SP habe ich auch schon am Start, da gibt es den Schalter dann, wie von dir erwähnt, nicht mehr.
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline jacobi22

  • Posts: 5891
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« Reply #3 on: November 01, 2015, 05:37:43 PM »
Quote
Die neue SP habe ich auch schon am Start, da gibt es den Schalter dann, wie von dir erwähnt, nicht mehr.

Nein, der braucht es auch nicht mehr
Ist es denn möglich für dich, den im Eingangs-Post geschilderten Vorgang mit diesem SP5 zu testen und falls JA, ist das Resultat dort das gleiche?

Aus meiner Sicht bin ich da dicht bei Martin, die FTAN kommt nicht an.
Ich meine, im Web (oder hier???) schon mal Ähnliches gelesen zu haben. Die Formulare verwenden zur Absicherung sog. Token, das sind verschlüsselte Werte ähnlich der TAN beim Online-Banking. Diese werden auf verschiedenste Weise dem Formular mitgegeben, meist als input type="hidden" -Feld. Diese Felder haben dann einen Name und ein Value (==Wert). In dem Fall, wo ich mich hier erinnere, war der Name == token, der Browser verwendet intern aber auch einen Wert mit gleichem Namen und beim Umschalten wurde dann der gesendete Wert mit dem Browserwert überschrieben. Nun frag mich aber nicht, welches CMS das war oder welcher Browser.

WB verwendet keine fixen Namen, sondern ebenfalls einen verschlüsselten, so das dies hier nicht die Ursache sein kann. Vorstellen könnt ich mir aber, das z.b. dein iOS diese Zeile "klaut", allerdings bin ich mir sicher, das es dann schon öfter Meldungen dazu gegeben hätte.

Sollte sich das Verhalten mit dem SP5 nicht ändern, würde ich mal ein paar Kontrollmeldungen einbauen, um zu checken, was weg geht und was ankommt

Was heißt das hier?
Quote
Bild mit colorbox pimpen keine Fehlermeldung

ich verstehe es so, das hier im Bildeigenschaften-Dialog ein paar Werte für CSS mitgegeben werden.
Hast du diesen Schritt schon mal übersprungen?

 
Wer nicht will, findet Gründe, wer will, findet Wege.

Offline jacobi22

  • Posts: 5891
  • Gender: Male
  • Support also via PM or EMail
    • Jacobi22
Re: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« Reply #4 on: November 01, 2015, 05:55:09 PM »
Welchen Wysiwyg-Editor habt ihr da benutzt?
(der hat mit der FTAN bzw Sicherheitsverletzu ng eigentlich garnichts zu tun, aber irgendwo ist der Zusammenhang schon komisch)
Wer nicht will, findet Gründe, wer will, findet Wege.

Offline hgs

  • Betatester
  • **
  • Posts: 1127
    • EFG MG
Re: Sicherheitsverletzung bei speichern von Bildern im BE bei IOS?
« Reply #5 on: November 02, 2015, 08:09:02 AM »
Mit SP5 noch nicht getestet
CKEditor    4.3.3 ist im Betrieb, werde ich mal auf den neusten Stand bringen

Die Autorin hat zuhause noch mal getestet.
Texte und Links gehen, Bilder nicht.
Gleichen Test mit einem Win-Client, hier geht alles ohen Fehlermeldung

Werde mal einen USER in einer SP5 für sie anlegen und da testen lassen.
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

 

postern-length