Author Topic: Discussion about WB-2.11.0 RC1 - Public release test  (Read 5854 times)

Offline evaki

  • Posts: 2020
Discussion about WB-2.11.0 RC1 - Public release test
« on: January 11, 2018, 10:56:36 PM »
Wo kommen die Rückmeldungen hin?
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.
MfG. Evaki
« Last Edit: January 12, 2018, 12:08:36 AM by jacobi22 »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline jacobi22

  • Posts: 4946
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Discussion about WB-2.11.0 RC1 - Public release test
« Reply #1 on: January 12, 2018, 12:05:24 AM »
Please test that WB 2.11.0 RC1 and give us response.
We will wait now until 2018/02/01 and collect the results of your tests. In the case of success, we publish the 2.11.0 as a 'stable' version at a short distance.

Download it here: Public RC-Test for WB 2.11.0 RC1
Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline jacobi22

  • Posts: 4946
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #2 on: January 12, 2018, 02:09:59 AM »
da hat der Uwe wohl falsch zusammengeführt und der Eintragsbeitrag ist an Position 2   :oops:

Quote
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.

korrekt und gefixt + Danke!
der Pfad zur js-Datei war noch auskommentiert
Die Cookie-Confirm-Leiste wird später etwa mittig im Beispiel-Template "DefaultTemplate" erscheinen und dort fest verankert sein, die Webseite im Hintergrund bleibt scroll- und damit bedienbar.
Leider sind die gesetzlichen Vorgaben nach wie vor unklar

P.S.: Die Fehler werden alle gesammelt und die Korrekturen fließen dann in die Stable Version

correct and fixed + thanks!
the path to the js file was still commented out
The cookie confirmation bar will appear later in the middle of the example template "DefaultTemplate" and be anchored there, the web page in the background remains scrollable and thus operable.
Unfortunately, the legal requirements are still unclear

P.S .: The bugs are all collected and the corrections are then put into the stable version
Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #3 on: January 12, 2018, 11:21:52 AM »
Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen.

Eine Meldung, wohlgemerkt, im zugänglichen BE (eingeloggt), also alles ist gut, und außerdem ist die Testsuite manchmal ziemlich blöd:
Code:
Only registered users can see contents. Please click here to Register or Login.
Hab mir noch ein paar Zeilen Erläuterungen dazu angetan. Ist in WB derzeitig wohl harmlos.

MfG. Evaki
Na gut, den haben wir noch
Password Transmitted over HTTP
Url  http://localhost/admin/preferences/index.php 
Form target action  http://localhost/admin/preferences/save.php 
Da nun so gut wie überall SSL genutzt wird, sollte das kein Problem darstellen.
« Last Edit: January 12, 2018, 11:41:27 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #4 on: January 12, 2018, 02:38:07 PM »
Auch wenn ich den Scan erst am Wocheende mal komplett durchlaufen lasse, hab' ich hier schon einen relevanten -ein "Aufhänger"  :roll: :
Code:
Only registered users can see contents. Please click here to Register or Login.MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #5 on: January 12, 2018, 04:49:52 PM »
Korrektur: Ursachenangabe
Unexpected Redirect Response Body (Too Large)
Lösung: Mit fehlendem exit() ergänzen.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8361
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #6 on: January 13, 2018, 11:54:19 AM »
Hello,

after upgrading to 2.11 RC 1 frontend.css of all modules isn't loaded.

Matthias

Offline jacobi22

  • Posts: 4946
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #7 on: January 13, 2018, 12:12:55 PM »
#1 - register_frontend_m odfiles("'css');  is neccesary in template-index.php

#2 - pls check the output-filter settings - is it empty???  if yes, start a manual install of the output-filter-module

Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8361
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #8 on: January 13, 2018, 02:09:22 PM »
Hello,

Code:
Only registered users can see contents. Please click here to Register or Login.is in index.php of template

output-filter-settings Modul manually installed, all options testet by activating and deactivating.

No changes, no "frontend.css" is loaded.

Only if I activate "snipptet.js" the frontend.css of WBLingual is loaded, but no other "frontend.css"

Matthias

Offline dbs

  • Betatester
  • **
  • Posts: 7393
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #9 on: January 13, 2018, 03:43:01 PM »
Upgraded from which version?
Which PHP version?
No errors in upgrade script?
With default Template the same problem?

This problem has never appeared in many tests.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4107
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #10 on: January 13, 2018, 06:13:55 PM »
Hi,

i just has talk with Matthias, I'm knowing what to do.
 
We have to activate or deactivate Js and Css Filter with an own switch.

Many tks for all help.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8361
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #11 on: January 13, 2018, 08:49:28 PM »
Hello,

thanks to Dietmar. Problem seems to be, that <?php register_frontend_m odfiles('css');?> in index.php of frontend template only works if Filter "FrontendJs" is set in Output Filter Frontend in the backend from WB. It is for me unlogical that i have to activate JS to get CSS. Should be changed or better explained.

Matthias

Offline CodeALot

  • Posts: 380
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #12 on: January 14, 2018, 02:13:32 AM »
Ok if nobody is saying it, I will:
I think it's VERY careless to announce to the world that ALL versions of WB have a vulnerability that enables the bad guys to wipe an entire WB-installation, when all you have to fix it is a still untested release candidate.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #13 on: January 14, 2018, 11:19:13 AM »
Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 
Die beste Waffe ist "open source". Werkzeuge zur Überprüfung gibts für Profis, also nicht für Windows-Knopfdrücker, auch als open source und kostenlos. Wer damit umgehen kann, braucht sich vor Hackern nicht zu fürchten.
MfG. Evaki

Ganz vergessen: Wenn Sicherheitslücken, in welchem Softwareprodukt auch immer auftun, ist es leider so wie auch bei Viren etc. Man kann nur hinterher korrigierend eingreifen, weshalb auch ein Sicherheitsdenken bei jedem Computerbesitzer und erst recht bei Websitenbetreibern gefordert ist. Gut, in DE möglicherweise ein Problem (Schuld sind immer die anderen  :-D )
« Last Edit: January 14, 2018, 11:33:45 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #14 on: January 14, 2018, 02:30:26 PM »
Um das auch noch zu entschärfen:
Evaki: "Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen."
"Anfälligkeiten" bedeutet nicht, daß diese auch die "gewünschte" Möglichkeit eröffnen, unautorisierten Zugriff zu bekommen, zumal -die es wissen, und Infos dazu haben- es, wenn überhaupt, nur den BE-Bereich betraf. Man mußte also getreu eines B.B "schon drin sein". Derartige Anfälligkeiten wurden schon vor langer Zeit geschlossen, und nur darauf bezog sich die Aussage.

Echte Sicherheitsprobleme gibts mittlerweile, nach den bisherigen Erfahrungen zu urteilen, nur noch auf der Serverseite, und beim Umgang mit Zugangsdaten.

Die z.Z. angemerkten Unstimmigkeiten, die übrigens als vollständiger Report per Mail ans Team gehen, befinden sich mehr auf der Code-Ebene, können möglicherweise, als "möglicherweise" sind sie auch gekennzeichnet, z.B. Probleme bei der Ausführung eines CMS-Scripts  bereiten, also evtl. eine Ausführung stören. Ob sich das, oder auch andere Auffäligkeiten wirklich schädlich für Funktion oder Sicherheit auswirkt, wird dann anhand der Reports von den Dev. geprüft.
Hoffe, das reicht um den Ablauf zu verstehen. Jeglicher Alarm ist unnötig.
MfG. Evaki
« Last Edit: January 14, 2018, 02:43:44 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline hgs

  • Betatester
  • **
  • Posts: 847
    • EFG MG
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #15 on: January 15, 2018, 07:59:52 AM »
Danke für die Aufklärung und Danke fürs durchtesten. (Y)
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline CodeALot

  • Posts: 380
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #16 on: January 15, 2018, 09:11:09 AM »
Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 

May very well be. Burglars have great knowledge of locks. But you don't have to yell at them "Hey! This door is not locked at night!"

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #17 on: January 15, 2018, 10:27:00 AM »
>> "Hey! This door is not locked at night!"
Bei einem Tor würde ich zustimmen. Ansonsten führen die "Anfälligkeiten" nur zur Frage: "Sind bestehende Funktionsstörungen geeignet Sicherheitsprobleme auszulösen?" Eigentlich eine Frage, die sich grundsätzlich immer stellt.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline dbs

  • Betatester
  • **
  • Posts: 7393
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #18 on: January 15, 2018, 10:36:10 AM »
One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

Offline CodeALot

  • Posts: 380
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #19 on: January 15, 2018, 05:35:10 PM »
One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

And my point is: you don't go public with a vulnerability before you have a fix. And a Release Candidate is NOT a fix.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #20 on: January 15, 2018, 06:02:27 PM »
Wollen wir doch die Reihenfolge, möglichst auch in der Argumentation, einhalten.
Ein RC1 ist ein feature complete. Also wird dieser zum Test herausgegeben. Danach noch festgestellte Probleme führen zu RC2, RC3. Um Fehler zu finden, muß die Software erstmal vorliegen, ups... -hier also RC1 Soweit ich weiß, gabs keine beta.
Ist doch eigentlich nicht schwierig, das zu verstehen.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline CodeALot

  • Posts: 380
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #21 on: January 15, 2018, 10:20:50 PM »
You're missing the point completely. RC is no option for production environments. Therefor, there is no option to fix the vulnerability in that same production environment.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #22 on: January 15, 2018, 10:53:59 PM »
Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline CodeALot

  • Posts: 380
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #23 on: January 15, 2018, 10:55:46 PM »
Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki
Like I said: you're missing the point completely. Probably lost in translation somewhere. Have a good evening.

Offline evaki

  • Posts: 2020
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #24 on: January 15, 2018, 10:59:53 PM »
>>Probably lost in translation somewhere
Nee, sicherlich nicht. Aber unterschiedliche Standpunkte und Vorgehensweisen haben im Forum durchaus ihre Berechtigung. Wir profitieren ja alle ein wenig davon.
Auch Dir noch einen schönen Abend, Evaki
« Last Edit: January 15, 2018, 11:07:51 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

 

postern-length