Discussion about WB-2.11.0 RC1 - Public release test

[evaki]

Wo kommen die Rückmeldungen hin?
Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.
MfG. Evaki

[jacobi22]

Please test that WB 2.11.0 RC1 and give us response.
We will wait now until 2018/02/01 and collect the results of your tests. In the case of success, we publish the 2.11.0 as a 'stable' version at a short distance.

Download it here: Public RC-Test for WB 2.11.0 RC1

[jacobi22]

da hat der Uwe wohl falsch zusammengeführt und der Eintragsbeitrag ist an Position 2   

Es fehlt /js/CookieNotice.js, sacht meiner einer (Tool), das Links checkt.
Der hat wohl keine Template-Variable oder Pfad gefunden, vermute ich mal.

korrekt und gefixt + Danke!
der Pfad zur js-Datei war noch auskommentiert
Die Cookie-Confirm-Leiste wird später etwa mittig im Beispiel-Template "DefaultTemplate" erscheinen und dort fest verankert sein, die Webseite im Hintergrund bleibt scroll- und damit bedienbar.
Leider sind die gesetzlichen Vorgaben nach wie vor unklar

P.S.: Die Fehler werden alle gesammelt und die Korrekturen fließen dann in die Stable Version

correct and fixed + thanks!
the path to the js file was still commented out
The cookie confirmation bar will appear later in the middle of the example template "DefaultTemplate" and be anchored there, the web page in the background remains scrollable and thus operable.
Unfortunately, the legal requirements are still unclear

P.S .: The bugs are all collected and the corrections are then put into the stable version

[evaki]

Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen.

Eine Meldung, wohlgemerkt, im zugänglichen BE (eingeloggt), also alles ist gut, und außerdem ist die Testsuite manchmal ziemlich blöd:

Code:

Only registered users can see contents. Please click here to Register or Login.
Hab mir noch ein paar Zeilen Erläuterungen dazu angetan. Ist in WB derzeitig wohl harmlos.

MfG. Evaki
Na gut, den haben wir noch
Password Transmitted over HTTP
Url  http://localhost/admin/preferences/index.php 
Form target action  http://localhost/admin/preferences/save.php 
Da nun so gut wie überall SSL genutzt wird, sollte das kein Problem darstellen.

[evaki]

Auch wenn ich den Scan erst am Wocheende mal komplett durchlaufen lasse, hab' ich hier schon einen relevanten -ein "Aufhänger"  :

Code:

Only registered users can see contents. Please click here to Register or Login.MfG. Evaki

[evaki]

Korrektur: Ursachenangabe
Unexpected Redirect Response Body (Too Large)
Lösung: Mit fehlendem exit() ergänzen.
MfG. Evaki

[ruebenwurzel]

Hello,

after upgrading to 2.11 RC 1 frontend.css of all modules isn't loaded.

Matthias

[jacobi22]

#1 - register_frontend_m odfiles("'css');  is neccesary in template-index.php

#2 - pls check the output-filter settings - is it empty???  if yes, start a manual install of the output-filter-module

[ruebenwurzel]

Hello,

Code:

Only registered users can see contents. Please click here to Register or Login.is in index.php of template

output-filter-settings Modul manually installed, all options testet by activating and deactivating.

No changes, no "frontend.css" is loaded.

Only if I activate "snipptet.js" the frontend.css of WBLingual is loaded, but no other "frontend.css"

Matthias

[dbs]

Upgraded from which version?
Which PHP version?
No errors in upgrade script?
With default Template the same problem?

This problem has never appeared in many tests.

[Luisehahne]

Hi,

i just has talk with Matthias, I'm knowing what to do.
 
We have to activate or deactivate Js and Css Filter with an own switch.

Many tks for all help.

Dietmar

[ruebenwurzel]

Hello,

thanks to Dietmar. Problem seems to be, that <?php register_frontend_m odfiles('css');?> in index.php of frontend template only works if Filter "FrontendJs" is set in Output Filter Frontend in the backend from WB. It is for me unlogical that i have to activate JS to get CSS. Should be changed or better explained.

Matthias

[CodeALot]

Ok if nobody is saying it, I will:
I think it's VERY careless to announce to the world that ALL versions of WB have a vulnerability that enables the bad guys to wipe an entire WB-installation, when all you have to fix it is a still untested release candidate.

[evaki]

Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 
Die beste Waffe ist "open source". Werkzeuge zur Überprüfung gibts für Profis, also nicht für Windows-Knopfdrücker, auch als open source und kostenlos. Wer damit umgehen kann, braucht sich vor Hackern nicht zu fürchten.
MfG. Evaki

Ganz vergessen: Wenn Sicherheitslücken, in welchem Softwareprodukt auch immer auftun, ist es leider so wie auch bei Viren etc. Man kann nur hinterher korrigierend eingreifen, weshalb auch ein Sicherheitsdenken bei jedem Computerbesitzer und erst recht bei Websitenbetreibern gefordert ist. Gut, in DE möglicherweise ein Problem (Schuld sind immer die anderen  )

[evaki]

Um das auch noch zu entschärfen:
Evaki: "Sehr schön. All die in "alten" Versionen gezeigten Anfälligkeiten sind nicht mehr zu sehen."
"Anfälligkeiten" bedeutet nicht, daß diese auch die "gewünschte" Möglichkeit eröffnen, unautorisierten Zugriff zu bekommen, zumal -die es wissen, und Infos dazu haben- es, wenn überhaupt, nur den BE-Bereich betraf. Man mußte also getreu eines B.B "schon drin sein". Derartige Anfälligkeiten wurden schon vor langer Zeit geschlossen, und nur darauf bezog sich die Aussage.

Echte Sicherheitsprobleme gibts mittlerweile, nach den bisherigen Erfahrungen zu urteilen, nur noch auf der Serverseite, und beim Umgang mit Zugangsdaten.

Die z.Z. angemerkten Unstimmigkeiten, die übrigens als vollständiger Report per Mail ans Team gehen, befinden sich mehr auf der Code-Ebene, können möglicherweise, als "möglicherweise" sind sie auch gekennzeichnet, z.B. Probleme bei der Ausführung eines CMS-Scripts  bereiten, also evtl. eine Ausführung stören. Ob sich das, oder auch andere Auffäligkeiten wirklich schädlich für Funktion oder Sicherheit auswirkt, wird dann anhand der Reports von den Dev. geprüft.
Hoffe, das reicht um den Ablauf zu verstehen. Jeglicher Alarm ist unnötig.
MfG. Evaki

[hgs]

Danke für die Aufklärung und Danke fürs durchtesten.

[CodeALot]

Böse Jungs warten nicht auf Forenmitteilungen, und sind offensichtlich meist gut, wenn nicht besser über Sicherheitslücken als die Dev. informiert. 

May very well be. Burglars have great knowledge of locks. But you don't have to yell at them "Hey! This door is not locked at night!"

[evaki]

>> "Hey! This door is not locked at night!"
Bei einem Tor würde ich zustimmen. Ansonsten führen die "Anfälligkeiten" nur zur Frage: "Sind bestehende Funktionsstörungen geeignet Sicherheitsprobleme auszulösen?" Eigentlich eine Frage, die sich grundsätzlich immer stellt.
MfG. Evaki

[dbs]

One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

[CodeALot]

One point is:
If someone is hacked because of this vulnerability, they will want to know why WebsiteBaker has not warned beforehand.

And my point is: you don't go public with a vulnerability before you have a fix. And a Release Candidate is NOT a fix.

[evaki]

Wollen wir doch die Reihenfolge, möglichst auch in der Argumentation, einhalten.
Ein RC1 ist ein feature complete. Also wird dieser zum Test herausgegeben. Danach noch festgestellte Probleme führen zu RC2, RC3. Um Fehler zu finden, muß die Software erstmal vorliegen, ups... -hier also RC1 Soweit ich weiß, gabs keine beta.
Ist doch eigentlich nicht schwierig, das zu verstehen.
MfG. Evaki

[CodeALot]

You're missing the point completely. RC is no option for production environments. Therefor, there is no option to fix the vulnerability in that same production environment.

[evaki]

Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki

[CodeALot]

Und ich stehe -mit Verlaub- nicht auf Wortklauberei.
Akademisch könnte ich auch, so ums Projekmanagement und Qualitätskontrolle.
Ist hier m.E. aber vollkomen fehl am Platze bzw. unangebracht.
Dieses Thema ist jedenfalls für mich beendet. -Geduld un so...
Wichtiger sind mir da doch die Ergebnisse und der damit hoffentlich einhergehende Fortschritt.
MfG. Evaki

Like I said: you're missing the point completely. Probably lost in translation somewhere. Have a good evening.

[evaki]

>>Probably lost in translation somewhere
Nee, sicherlich nicht. Aber unterschiedliche Standpunkte und Vorgehensweisen haben im Forum durchaus ihre Berechtigung. Wir profitieren ja alle ein wenig davon.
Auch Dir noch einen schönen Abend, Evaki