Author Topic: Discussion about WB-2.11.0 RC1 - Public release test  (Read 6793 times)

Offline evaki

  • Posts: 2072
Discussion about WB-2.11.0 RC1 - Public release test
« on: January 11, 2018, 10:56:36 PM »
Wo kommen die Rückmeldungen hin?
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.
MfG. Evaki
« Last Edit: January 12, 2018, 12:08:36 AM by jacobi22 »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline jacobi22

  • Posts: 5010
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Discussion about WB-2.11.0 RC1 - Public release test
« Reply #1 on: January 12, 2018, 12:05:24 AM »
Please test that WB 2.11.0 RC1 and give us response.
We will wait now until 2018/02/01 and collect the results of your tests. In the case of success, we publish the 2.11.0 as a 'stable' version at a short distance.

Download it here: Public RC-Test for WB 2.11.0 RC1
Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline jacobi22

  • Posts: 5010
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #2 on: January 12, 2018, 02:09:59 AM »
da hat der Uwe wohl falsch zusammengeführt und der Eintragsbeitrag ist an Position 2   :oops:

Quote
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.

korrekt und gefixt + Danke!
der Pfad zur js-Datei war noch auskommentiert
Die Cookie-Confirm-Leiste wird später etwa mittig im Beispiel-Template "DefaultTemplate" erscheinen und dort fest verankert sein, die Webseite im Hintergrund bleibt scroll- und damit bedienbar.
Leider sind die gesetzlichen Vorgaben nach wie vor unklar

P.S.: Die Fehler werden alle gesammelt und die Korrekturen fließen dann in die Stable Version

correct and fixed + thanks!
the path to the js file was still commented out
The cookie confirmation bar will appear later in the middle of the example template "DefaultTemplate" and be anchored there, the web page in the background remains scrollable and thus operable.
Unfortunately, the legal requirements are still unclear

P.S .: The bugs are all collected and the corrections are then put into the stable version
Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #3 on: January 12, 2018, 11:21:52 AM »
Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen.

Eine Meldung, wohlgemerkt, im zugänglichen BE (eingeloggt), also alles ist gut, und außerdem ist die Testsuite manchmal ziemlich blöd:
Code: [Select]
[Possible] Cross-site Request Forgery Detected, Level LOW

Certainty   
Url  http://localhost/admin/pages/modify.php?page_id=1 
Form Name(s)  form_properties
wysiwyg1
form_properties
form_properties
form_properties
form_properties
 
Form Action(s)  http://localhost/modules/code/save.php
http://localhost/modules/form/add_field.php
http://localhost/modules/form/modify_backup.php
http://localhost/modules/form/modify_settings.php
http://localhost/modules/news/add_post.php
http://localhost/modules/news/add_group.php
http://localhost/modules/news/modify_settings.php
http://localhost/admin/pages/save.php
 
Classification Classification
PCI 3.0 6.5.9
PCI 2.0 6.5.9
OWASP 2010 A5
OWASP 2013 A8
CWE 352
CAPEC 62
WASC 09
Vulnerability Details
Testsuite identified a possible Cross-Site Request Forgery.

CSRF is a very common vulnerability. It's an attack which forces a user to execute unwanted actions on a web application in which the user is currently authenticated.

Impact
Depending on the application, an attacker can mount any of the actions that can be done by the user such as adding a user, modifying content, deleting data. All the functionality that’s available to the victim can be used by the attacker. Only exception to this rule is a page that requires extra information that only the legitimate user can know (such as user’s password).

Hab mir noch ein paar Zeilen Erläuterungen dazu angetan. Ist in WB derzeitig wohl harmlos.

MfG. Evaki
Na gut, den haben wir noch
Password Transmitted over HTTP
Url  http://localhost/admin/preferences/index.php 
Form target action  http://localhost/admin/preferences/save.php 
Da nun so gut wie überall SSL genutzt wird, sollte das kein Problem darstellen.
« Last Edit: January 12, 2018, 11:41:27 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #4 on: January 12, 2018, 02:38:07 PM »
Auch wenn ich den Scan erst am Wocheende mal komplett durchlaufen lasse, hab' ich hier schon einen relevanten -ein "Aufhänger"  :roll: :
Code: [Select]
Response Body (Too Large)
Certainty   
Url  http://localhost/admin/media/setparameter.php 
Vulnerability Details
Testsuite identified an unexpected redirect response body (too large).

This generally indicates that after redirect the page did not finish the response as it was supposed to.

Impact
This can lead to serious issues such as authentication bypass in authentication required pages. In other pages it generally indicates a programming error.
Remedy
Finish the HTTP response after you redirect the user.
In PHP applications, call exit() after you redirect the user.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #5 on: January 12, 2018, 04:49:52 PM »
Korrektur: Ursachenangabe
Unexpected Redirect Response Body (Too Large)
Lösung: Mit fehlendem exit() ergänzen.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8363
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #6 on: January 13, 2018, 11:54:19 AM »
Hello,

after upgrading to 2.11 RC 1 frontend.css of all modules isn't loaded.

Matthias

Offline jacobi22

  • Posts: 5010
  • Gender: Male
  • Support only via PM or EMail
    • Jacobi22
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #7 on: January 13, 2018, 12:12:55 PM »
#1 - register_frontend_m odfiles("'css');  is neccesary in template-index.php

#2 - pls check the output-filter settings - is it empty???  if yes, start a manual install of the output-filter-module

Etwas ist nur unmöglich, wenn man glaubt, dass es das ist!

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8363
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #8 on: January 13, 2018, 02:09:22 PM »
Hello,

Code: [Select]
<?php register_frontend_modfiles('css');?>is in index.php of template

output-filter-settings Modul manually installed, all options testet by activating and deactivating.

No changes, no "frontend.css" is loaded.

Only if I activate "snipptet.js" the frontend.css of WBLingual is loaded, but no other "frontend.css"

Matthias

Offline dbs

  • Betatester
  • **
  • Posts: 7446
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #9 on: January 13, 2018, 03:43:01 PM »
Upgraded from which version?
Which PHP version?
No errors in upgrade script?
With default Template the same problem?

This problem has never appeared in many tests.

Offline Luisehahne

  • WebsiteBaker Org e.V.
  • **
  • Posts: 4116
  • Gender: Male
    • Webdesign und Entwicklung WebsiteBaker
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #10 on: January 13, 2018, 06:13:55 PM »
Hi,

i just has talk with Matthias, I'm knowing what to do.
 
We have to activate or deactivate Js and Css Filter with an own switch.

Many tks for all help.

Dietmar
Immer nur von der Zukunft reden, die Gegenwart vergessen und auf die Vergangenheit schimpfen
Neues Unwort: Schnappatmung

Offline ruebenwurzel

  • Betatester
  • **
  • Posts: 8363
  • Gender: Male
  • Keep on Rockin
    • Familie Gallas Online
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #11 on: January 13, 2018, 08:49:28 PM »
Hello,

thanks to Dietmar. Problem seems to be, that <?php register_frontend_m odfiles('css');?> in index.php of frontend template only works if Filter "FrontendJs" is set in Output Filter Frontend in the backend from WB. It is for me unlogical that i have to activate JS to get CSS. Should be changed or better explained.

Matthias

Offline CodeALot

  • Posts: 385
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #12 on: January 14, 2018, 02:13:32 AM »
Ok if nobody is saying it, I will:
I think it's VERY careless to announce to the world that ALL versions of WB have a vulnerability that enables the bad guys to wipe an entire WB-installation, when all you have to fix it is a still untested release candidate.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #13 on: January 14, 2018, 11:19:13 AM »
Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 
Die beste Waffe ist "open source". Werkzeuge zur Überprüfung gibts für Profis, also nicht für Windows-Knopfdrücker, auch als open source und kostenlos. Wer damit umgehen kann, braucht sich vor Hackern nicht zu fürchten.
MfG. Evaki

Ganz vergessen: Wenn Sicherheitslücken, in welchem Softwareprodukt auch immer auftun, ist es leider so wie auch bei Viren etc. Man kann nur hinterher korrigierend eingreifen, weshalb auch ein Sicherheitsdenken bei jedem Computerbesitzer und erst recht bei Websitenbetreibern gefordert ist. Gut, in DE möglicherweise ein Problem (Schuld sind immer die anderen  :-D )
« Last Edit: January 14, 2018, 11:33:45 AM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #14 on: January 14, 2018, 02:30:26 PM »
Um das auch noch zu entschärfen:
Evaki: "Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen."
"Anfälligkeiten" bedeutet nicht, daß diese auch die "gewünschte" Möglichkeit eröffnen, unautorisierten Zugriff zu bekommen, zumal -die es wissen, und Infos dazu haben- es, wenn überhaupt, nur den BE-Bereich betraf. Man mußte also getreu eines B.B "schon drin sein". Derartige Anfälligkeiten wurden schon vor langer Zeit geschlossen, und nur darauf bezog sich die Aussage.

Echte Sicherheitsprobleme gibts mittlerweile, nach den bisherigen Erfahrungen zu urteilen, nur noch auf der Serverseite, und beim Umgang mit Zugangsdaten.

Die z.Z. angemerkten Unstimmigkeiten, die übrigens als vollständiger Report per Mail ans Team gehen, befinden sich mehr auf der Code-Ebene, können möglicherweise, als "möglicherweise" sind sie auch gekennzeichnet, z.B. Probleme bei der Ausführung eines CMS-Scripts  bereiten, also evtl. eine Ausführung stören. Ob sich das, oder auch andere Auffäligkeiten wirklich schädlich für Funktion oder Sicherheit auswirkt, wird dann anhand der Reports von den Dev. geprüft.
Hoffe, das reicht um den Ablauf zu verstehen. Jeglicher Alarm ist unnötig.
MfG. Evaki
« Last Edit: January 14, 2018, 02:43:44 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline hgs

  • Betatester
  • **
  • Posts: 867
    • EFG MG
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #15 on: January 15, 2018, 07:59:52 AM »
Danke für die Aufklärung und Danke fürs durchtesten. (Y)
LG Harald

"Fange nie an, aufzuhören - höre nie auf, anzufangen." Marcus Tullius Cicero (106-43 v.Chr.)

Offline CodeALot

  • Posts: 385
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #16 on: January 15, 2018, 09:11:09 AM »
Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 

May very well be. Burglars have great knowledge of locks. But you don't have to yell at them "Hey! This door is not locked at night!"

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #17 on: January 15, 2018, 10:27:00 AM »
>> "Hey! This door is not locked at night!"
Bei einem Tor würde ich zustimmen. Ansonsten führen die "Anfälligkeiten" nur zur Frage: "Sind bestehende Funktionsstörungen geeignet Sicherheitsprobleme auszulösen?" Eigentlich eine Frage, die sich grundsätzlich immer stellt.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline dbs

  • Betatester
  • **
  • Posts: 7446
  • Gender: Male
  • tioz4ever
    • WebsiteBaker - jQuery-Plugins - Module - Droplets - Tests
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #18 on: January 15, 2018, 10:36:10 AM »
One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

Offline CodeALot

  • Posts: 385
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #19 on: January 15, 2018, 05:35:10 PM »
One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

And my point is: you don't go public with a vulnerability before you have a fix. And a Release Candidate is NOT a fix.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #20 on: January 15, 2018, 06:02:27 PM »
Wollen wir doch die Reihenfolge, möglichst auch in der Argumentation, einhalten.
Ein RC1 ist ein feature complete. Also wird dieser zum Test herausgegeben. Danach noch festgestellte Probleme führen zu RC2, RC3. Um Fehler zu finden, muß die Software erstmal vorliegen, ups... -hier also RC1 Soweit ich weiß, gabs keine beta.
Ist doch eigentlich nicht schwierig, das zu verstehen.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline CodeALot

  • Posts: 385
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #21 on: January 15, 2018, 10:20:50 PM »
You're missing the point completely. RC is no option for production environments. Therefor, there is no option to fix the vulnerability in that same production environment.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #22 on: January 15, 2018, 10:53:59 PM »
Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.

Offline CodeALot

  • Posts: 385
  • Gender: Male
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #23 on: January 15, 2018, 10:55:46 PM »
Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki
Like I said: you're missing the point completely. Probably lost in translation somewhere. Have a good evening.

Offline evaki

  • Posts: 2072
Re: Discussion about WB-2.11.0 RC1 - Public release test
« Reply #24 on: January 15, 2018, 10:59:53 PM »
>>Probably lost in translation somewhere
Nee, sicherlich nicht. Aber unterschiedliche Standpunkte und Vorgehensweisen haben im Forum durchaus ihre Berechtigung. Wir profitieren ja alle ein wenig davon.
Auch Dir noch einen schönen Abend, Evaki
« Last Edit: January 15, 2018, 11:07:51 PM by evaki »
Einmal Pizza Quattro Stagioni bitte, aber ohne Herbst.