This CKEditor 4.22.1 version is not secure.

[Concilla]

Hallo an alle,

wenn man im Backend eine Seite öffnet und der Editor erscheint, poppt seit heute rot folgende Info auf:

This CKEditor 4.22.1 version is not secure. Consider upgrading to the latest one, 4.24.0-lts.

Gib es dazu bereits eine Lösung?

Vielen Dank im voraus.

[dbs]

Kann ich nicht bestätigen, keinerlei Meldung bis jetzt.
Die LTS Version hat wohl nichts mit der in WB verwendeten Version zu tun.

[Concilla]

Es ist auf drei verschiedenen Seiten. Es läuft dort WB 2.13.4. Eine neuere Editor-Version gibt es unter den Add-Ons leider noch nicht.

[hgs]

Dietmar arbeitet an einem Fix.

[Concilla]

  Prima. Vielen Dank.

[dbs]

Jetzt weiß ich warum ich den Hinweis nicht bekomme.
"Content-Security-Policy"
Da der Hinweis von außerhalb geholt wird, wird er geblockt 

[hgs]

Bitte mal testen ob mit einer Ergänzung in
 /modules/ckeditor/ckeditor/config.js
die Zeile

Code: [Select]

config.versionCheck = false;das Anzeigeproblem behebt.
Siehe Doku vom CKE
Tagsüber wird es auch bei mir von der Firewall der Firma geblock, Zuhause habe ich die Anzeige auch, kann es aber erst um 18 Uhr testen.

[Concilla]

Die Meldung kommt bei mir momentan nicht mehr. Trotzdem wäre es interessant, diese Info abzuschalten, für die Zukunft.

Weiterhin gibt es in der /modules/ckeditor/ckeditor/config.js keine Zeile mit dem von Dir erwähnten Code. Der muss wahrscheinlich woanders stecken?

[hgs]

Ja, dass ist richtigt, deshalb habe ich "Ergänzung" geschrieben.

[Concilla]

Oh, da hatte ich wohl zu schnell gelesen 

Ich habe diese Zeile mal hinzugefügt. Aber, wie geschrieben, momentan erscheint diese Meldung nicht mehr.

[hgs]

Bei mir kommt die Meldung auch Zuhause nicht mehr.
Also erst mal alles wieder in Ordnung.

[Concilla]

Danke! Man hätte es gar nicht bemerkt, wenn man den den beiden Tagen nicht gerade etwas im Backend mit dem Editor gemacht hätte. Sollte es wieder einmal auftauchen, hat man zumindest schon mal eine Lösung.

[hgs]

Im addon-Bereich gibt es den gefixten CKEditor zum Download.

[Concilla]

Prima! Vielen Dank dafür. 

[hillschmidt]

Na ja, zum einen ist das Abschalten der Warn-Meldung keine Lösung - und bei mir bringt auch der modifizierte CKEditor die Meldung (und das wohl mit Recht).

Ist ein Update für WB für den CKEditor von Version 4.22.1 auf 4.24.0-lts in Planung? DAS wäre die Lösung für alle!

Code: [Select]

This CKEditor 4.22.1 version is not secure. Consider upgrading to the latest one, 4.24.0-lts.

[sternchen8875]

Code: [Select]

Ist ein Update für WB für den CKEditor von Version 4.22.1 auf 4.24.0-lts in Planung?
Nein, definitiv nicht, es steht dir aber frei, diese Version bei dir einzusetzen. Dabei ist die Begründung recht einfach: Dieser Extended Support ist account-gebunden, hieße, du benötigst einen Account, ich ebenfalls. Dies wäre technisch nicht umzusetzen. Es bliebe lediglich die Option, einen Pre-Install anzubieten, ein Editor, der erst funktioniert, wenn der Account freigeschalten ist. Das bekommst du niemanden beigebracht und entspräche auch nicht mehr der Grundausrichtung von WB, ein kostenloses CMS zu sein.
Sicher hat es nicht jeder gelesen und so manche(r) auch bewußt überlesen - die Version 4.24.0-lts basiert auf einen bezahlpflichtigen sogenannten Extended support. ein Modell, das auch in Deutschland bei so manchem Provider Einzug gehalten hat, wenn man z.b. auf ältere PHP-Versionen bestehen möchte.

zum einen ist das Abschalten der Warn-Meldung keine Lösung -

Ist eine Lösung, die schon immer Teil des CKEditors war und eine, die auch in der offiziellen Hilfe des CKE dokumentiert ist -> https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_config.html#cfg-versionCheck

und bei mir bringt auch der modifizierte CKEditor die Meldung (und das wohl mit Recht).

Ich behaupte mal, das ich die Ursache dafür in max zwei Minuten auf deiner Webinstallation finden kann, wenn du mich lassen würdest.... 

Grundsätzlich muß man beim CKEditor unterscheiden zwischen dem Inline-Editor, den diverse CMS auch fürs Frontend nutzen und dem reinen Backend-Betrieb, wie WebsiteBaker ihn nutzt. Der Frontend-Inline-Editor hat eben auch die Bedingung, das zum einen alle eingebundenen Dateien auch öffentlich erreichbar sind, zum anderen laufen diverse Vorgänge über zugängliche Wege, ein POST oder GET entweder über Ajax oder eben direkt zu einer Datei. Und genau dort liegen dann die Sicherheitsprobleme, die in der Warnung auftauchen. WB nutzt diese Technik nicht, von daher stellt sich diese Frage nicht. Bei WB geht der Editor nur übers abgesicherte Backend

Nachtrag: vielleicht findest du in diesem Beitrag/diesem Thread noch Punkte zum Kontrolle und Lösungen zum Abschalten der Warnung -> https://forum.WebsiteBaker.org/index.php/topic,32337.msg226456.html#msg226456

[hillschmidt]

Danke für die Hilfe!
- auf einer Domain half (anscheinend nur) die Änderung in der Template-Datei,
- auf vier anderen Domains half der CKEditor-Update --- nachdem ich den Cache geleert hatte!
Vielleicht kannst Du diesen Hinweis noch ergänzen.

[sternchen8875]

auf einer Domain half (anscheinend nur) die Änderung in der Template-Datei,

kannst du das näher erläutern?

[hillschmidt]

ganz einfach: nach dem Update der CKE-Erweiterung hatte ich den Cache nicht gelöscht - die Fehlermeldung kam weiterhin.
Also bin ich Deinen ausführlichen Post nochmal durch und habe die Template Config geändert - wieder kam der Fehler.
Dann erst fiel mir der Browsercache ein - geleert - Fehler war weg.

Es kann also bereits der CKEditor Update geholfen haben, hätte ich direkt danach den Cache geleert ... so habe ich nun Update und Template-config-Änderung aktiv ...

[sternchen8875]

Danke für die Erläuterung 

[ra-wi]

Hallo zusammen,
ich habe leider auch das o.g. Problem. Die Ergänzung in der config.js hat nichts gebracht. Die Abschaltung PC-Boost und Löschen des Caches war auch nicht erfolgreich.
Da zur Zeit der Download einer geänderten bzw. gefixten Version ja nicht möglich ist, kann mir vielleicht jemand sagen, wo die Datei noch zu finden ist?
https://forum.WebsiteBaker.org/index.php/topic,32337. msg226456.html#msg226456

Vielleicht gibt es ja mittlerweile auch eine andere Lösung?
LG
Rainer

[sternchen8875]

Wie wäre es mit einem Tausch? ich würde gern selbst probieren, warum die selbst eingefügten Änderungen bei euch nicht fruchten.
Ein Problem könnten Zusatzprogramme auf dem Server sein, die die Provider anbieten, z.b. PHP-Boost bei Strato, die bis zu 100% schnellere Ladezeiten versprechen.
Solche Programme cachen die Dateien und schauen (einfach gesagt) nur alle paar Tage mal nach einer neuen Version. Bei einigen Providern kann man diese Zeit auch einstellen, 6, 12, 24 oder 48 Stunden.
Nun hattest du PHP-Boost deaktiviert, aber das ist eben kein Schalter, der sofort wirkt, Abhängig vom Paket kann das auch mal 6 Stunden dauern. So kann es sein, das du vielleicht alles richtig gemacht hast, aber das Ergebnis erst später siehst.

Leider kann ich das Addon hier nicht anhängen, weil es etwas größer ist als die erlaubten 2Mb. Ich schicke dir aber gleich eine PN mit einem Link zum Download auf meinem Server
Ich empfehle, den vorhandenen CKeditor über die Deinstallations-Prozess von WB zu löschen, Erweiterungen -> Module -> Modul deinstallieren
Nach erfolgter Deinstallation dann auf der gleichen Seite die neue Version installieren.

Vielleicht gibt es ja mittlerweile auch eine andere Lösung?

Nein, gibt es nicht, wird es nicht geben und kann es nicht geben

Es wird früher oder später der Umstieg auf den CKE5 geben (müssen), ich persönlich tendiere da eher zu einem optionalen Modul, weil es eben etwas komplett neues ist

[sternchen8875]

Noch ein Tipp, weil ich grad drüber gestolpert bin....
die wb_ckconfig.js hatte ich oben schon mal angesprochen, sie ermöglicht eine vom Standard abweichende Konfiguration des CKEditors, u.a. auch abhängig vom jeweils eingestellten Frontend-Template

Das im WB-Paket mitgelieferte DefaultTemplate soll alle Möglichkeiten für Templates aufzeigen, die dann in eigene Templates übernommen werden können. Das Template verfügt auch über eine eigene wb_ckconfig.js (im js-Ordner), die diese Versionsabfrage beinhaltet.

Code: [Select]

config.versionCheck = false;
Zur Gegenprobe legt man sich eine versteckte oder private Seite mit Typ = Wysiwyg an, geht dann in die Seiteneinstellungen und wählt unter Template das DefaultTemplate aus. Dann ggf den Browsercache löschen und nun probieren, ob alles funktioniert. Diese Methode würde dann zumindest mögliche andere im System vorhandene wb_ckconfig.js ausschließen.
Ladereihenfolge siehe oben

[ra-wi]

Vielen Dank schon mal sternchen8875,
dann werde ich wohl erst einmal die ominösen 6 Stunden warten. Vielleicht hat sich das Problem ja dann schon erledigt, wie ja hier im Forum schon erwähnt.
Wenn nicht, dann geht es halt mit deinen Vorschlägen weiter. Ich bleibe am Ball....
LG
Rainer

PS:  der Link zum Download in der PM funktioniert leider auch nicht.

[sternchen8875]

der Link zum Download in der PM funktioniert leider auch nicht.

Zur Aufklärung: die Forensoftware hat eine Text-Umschreibungsmethode, die aus verschiedenen Schreibweisen des Wortes w e b s i te b a k e r die im Vereinsverzeichnis hinterlegte korrekte Bezeichnung "WebsiteBaker" macht. So dann auch in der PM passiert

Hab die Datei jetzt in einen anderen Ordner verschoben und schick dir den Link gleich nochmal

P.S.: sorry für die Umstände