Beiträge von Peter

Zitat

Original von SoniC
hab ich schon gemacht geht trotzdem net

was hast du eingegeben bei Domain?

Zitat

Original von SoniC
basic 2.0

bitte das nächste mal im richtigen Forum. Thema wurde verschoben

Gehe in das ACP auf Einstellungen -> globale Einstellungen und stelle die korrekte Domain zum Forum ein.

welche version des Sicherheitssystems wird benutzt?

Zitat

Original von Ramseier
14 tage, kein bugfix zu sehen...

du musst auch mich verstehen. Ich bin alleine am arbeiten und habe (fast) keine Unterstützung. Die professional Version geht halt vor. Ich bitte um entwas Geduld...

Wie soll ich das in keine Falsche Kehle kriegen.... Mich als Codingnoob zu bezeichnen ist nicht gerade nett (nett ausgedürckt). Klar jeder macht Fehler und du bist auch nciht gerade perfekt!

Ich möchte was zu deiner durchaus guten Zeile sagen:

$_disabled = array('_POST', '_GET', '_SERVER', '_COOKIE', '_REQUEST', '_FILE', 'securityconfig', 'bedingung');


foreach ($_REQUEST as $key => $temp) {
  if (isset($_REQUEST[$key]) AND !in_array($key, $_disabled)) $$key = $_REQUEST[$key];
}

Was ist aber, wenn die $_POST gewollt ist? Dann wird sie nicht definiert außer in den Zeilen von Woltlab.. Es gibt ja andere Variablen.. Wenn das sperrst, macht das keinen Sinn?!

Das ist schon richtig, dass du sagen kannst, dass du eine neue Securityconfig definierst, aber bringen tut dir das nciht viel. Die $securityconfig wird ja weiter unten definiert. Da nützt dir deine $_GET Variable gar nichts!

Zitat

Original von Dominik
Ich wollte es auch nur anmerken, dass earylhost mehr zu der Sicherheitslücke sagen kann, als ich momentan.

Also natürlich kann das als SIcherheitslücke angesehen werden, wenn man schlecht programmiert. SQL Injections können nur durch schlecht gemachte Scripte gemacht werden. Die Version 2.1 pro wird gegen soetwas schützten können!

In der ACp security.php ist das auf keinen Fall eine Sicherheitslücke, da man die Sid braucht... Und wenn man die hat, kann man effektivere Sachen machen...

In der Forumversion kann diese Funktion ausgenützt werden, zu bedenken ist aber, dass die wenigsten Server diese Zeilen überhaupt benötigen. Ich kann nur sagen ich bin am Arebiten, auch wenn das vielleicht einige nicht befriedigen aknn. Zur Zeit arbeite ich alleine an dem Sicherheitssystem und das ist viel Arbeit. Außerdem gehts mir privat auch nihct gerade rosig. Ich kann nur auf die bald erscheindene Version 2.1 pro verweisen. (Benutzer von 2.0 pro bekommen einen Patch).

Nocheinmal: Diese Sicherheitslücke kann nur ausgenützt werden, wenn das Script schon nicht ganz fehlerfrei programmiert wurde. Dazu reicht schon die SQL INjection im $_POST. $_GET ist da meistens gar nciht nötig...

Zitat

Original von Sorcio
Also ich logge mich im ACP frisch und neu ein.

dann gelange ich ja automatisch auf die index.php wo auch die angriffe aufgelistet werden, in diesem falle werden bruteforce attacken vermutet und 17falsche ACP logins. Klicke ich dann auf den link "Meldung akzeptieren" kommt die besagte fehlermeldung:

Code

Fehlermeldung
Aus einem der folgenden Gründe fehlt Ihnen die Berechtigung, diesen Bereich zu betreten:


    * Sie haben nicht die nötigen Berechtigungen vom Administrator erhalten, diesen Bereich zu benutzen.
    * Ihre Sitzung ist abgelaufen. Sie müssen sich erneut im Admin Control Panel anmelden, um diesen Bereich zu betreten.

das ist ein bereits gefixeder Fehler in der Entwicklungsversion. Bugfix kommt in den nächsten Tagen!

wo erscheint diese meldung?

//Edit: Wenn diese nach dem Login kommt ist das ganz klar: Woltlba hat einen kleinen Schutz eingebaut, dass jedes Loginformular nur einmal gültig ist. Wenn mann auf zurcükd ann geht, hat man ncoh das alte Forumular, was ungültig ist. Daher kommt diese Meldung!
Die Seite muss aktualisiert werden, damit das FOrumlar wieder gültig ist

Der Sicherheitslogin kann ja einfach deaktiviert werden Die Deinstallation sollte selbstständig alles entfernen. Ich würde dies aber nciht tun, nru weil man die Sicherheitsgrafik nciht lesen kann.

alles schon in Arbeit

Teilweise wurde das ja schon umgesetzt!

Es liegt am Sicherheitssystem, da die Linkgrafik aus dem ACP Ordner geladen wird. In der Version 2.1.0 wird ein besserer .htaccess Schutz sein mit einstellbarem Passwort usw...

Dann musst du hier einmal schauen, ob du diese Änderunegn alle hast:

Sicherheitssystem kann Datei nicht verändern - Die Hilfe

Kamen bei der Installation irgendwelche Fehlermeldungen, dass manche datein nicht verändert werden konnten?

Zitat

Original von Ramseier
gibt es schon nen bugfix ?

nein. der wird in den nächsten Tagen kommen

Zitat

Original von Celta
Hab ich, bringt aber auch nichts.

Das leigt am Server, da der irgendetwas verbietet. Das ist natürlich schlecht. Für alle, die trotzdem eine Sicherheitsabfrage sehen wollen, sollten lieber das machen:

suche in acp/security.php

ImageTTFText ($image, $fontsize, , $x, $y, $color, $font, $password);

ersetzte mit dem

ImageString($image, $fontsize, $x, ($y - 9), $password, $color);

Leider ist die Abfrage nicht mehr besonders. Ich werde aber schauen, dass sich das in der Version 2.1 verbessert

Zitat

Original von Celta
Also auf dem FTP ist der Font drauf, und es wird trotzdem nichts angezeigt...

Versuche Schreibrechte zu setzen. Also auf 777

Der Fehler ist ganz klar.... Die Font fehlt.

<br />
<b>Warning</b>:  mt_rand():  Invalid range:  0..0 in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>42</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />
<br />
<b>Warning</b>:  Could not find/open font in <b>/var/www/web36/html/forum/acp/security.php</b> on line <b>55</b><br />

lade die font aus der security.cab hoch, oder benutze die im Anhang. Die Datei muss dann hier sein: acp/security/font.ttf

Der fehler ist bekannt und wurde in der Entwicklungsversion schon gefixed. Es leigt daran, dass die sid fehlt.

Zitat

Original von Celta
Also ich hab in dem Forum sonst nichts installiert bis auf 1-2 Hacks die aber nichts damit zu tun haben müssten, da es nur kleine sind...

das sollte kein Problem sein. Gib mir den Link bitte zu dienem Forum, weil dann kann ich mri die Fehelremldung anschauen.