MyXoops Forum

Aw:: XOOPS 2.4.x ckeditor + ckfinder [Sicherheit von XOOPS] - myXOOPS German Support

alfred

Administrator
Gepostet am:24.12.2009 12:53
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#10

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Zitat:

Josef schrieb:
deshalb habe ich das Codebeispiel hinzugefügt damit diejenigen, die die Warnung missachten den cfinder nutzen können, ohne dass es zu einem Sicherheitsleck führt.


ich habe extra keinen Codeschnipsel aufgeführt, da es bisher unbedarften nicht gelungen ist, das zu finden.
Durch deinen Codeschnipsel wird es jetzt aber Leute geben, die eben das machen was du eigentlich verhindern wolltest . Sie werden den ckfinder aktivieren, weil es ja einige wollten.
Ich bin immer noch dafür, den ganzen ckeditor so zu lassen wie er ist, weil so ist er sicher.

Zitat:

In der Version 2.4.1 u. 2.4.2 ist das wieder verändert worden, so dass die xoops spezifische Konfiguration für den ckeditor nicht zum Tragen kommt. D.h.: in den beiden letzten Versionen werden beim ckeditor die Standardeinstellungen des Editors verwendet und die passen ja nicht unbedingt in das XOOPS-Umfeld.


nein, das wurde nur etwas verändert, es geht immer noch spezifisch, dazu aber später mehr.

Zitat:
Meiner Meinung nach haben solche halbfertige Sachen nichts in einem freigegeben Release zu suchen. Das verunsichert die Anwender und führt dann zu der Bastelei.


die halbfertigen Sachen erleichtern aber die endgültige Version, da sonst immer der ckeditor angepasst werden müsste. Aktiv ist halt nur das, was auch fertig ist.
(Es gibt da auch noch mehr Sachen, die inaktiv sind )

Gast

Gepostet am:24.12.2009 11:19
Gast
Gast (Show more)
Posts: 0
Since:
#9

Aw:: XOOPS 2.4.x ckeditor + ckfinder

@Alfred

deshalb habe ich das Codebeispiel hinzugefügt damit diejenigen, die die Warnung missachten den cfinder nutzen können, ohne dass es zu einem Sicherheitsleck führt.
Die Problematik ist ja, dass in der Version 2.4.0 der ckfinder im editor drin aber nicht aktiviert ist. In der Version ist auch die Konfiguration im ckeditor auf xoops abgestimmt.
In der Version 2.4.1 u. 2.4.2 ist das wieder verändert worden, so dass die xoops spezifische Konfiguration für den ckeditor nicht zum Tragen kommt. D.h.: in den beiden letzten Versionen werden beim ckeditor die Standardeinstellungen des Editors verwendet und die passen ja nicht unbedingt in das XOOPS-Umfeld.
Meiner Meinung nach haben solche halbfertige Sachen nichts in einem freigegeben Release zu suchen. Das verunsichert die Anwender und führt dann zu der Bastelei.
Frohe Weihnachten

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

alfred

Administrator
Gepostet am:24.12.2009 09:55
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#8

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Hier mal ein Code-Beispiel wie man eine Authentifizierung einbinden kann
Die 
Nutzung des CKFINDERS wird dabei auf den Admin beschränkt....


besser und einfacher ist es das mit Gruppen zu lösen

zu deiner Sicherheitsproblematik:
bei der ckfinder config.php steht bei der Authfunktion ein sehr schöner Text drüber.

Zitat:

//WARNING : DO NOT simply return "true"...


Die Implementierung ist noch nicht ganz fertig, daher gibt es auch noch keine 'richtige' Einstellmöglichkeit.

die ganze Konfiguration kann auch modulmässig gemacht werden.
Heisst für jedes Modul kann das einzeln eingestellt werden.

Eine 'Bastelei' an dem Editor würde ich eh nur jemanden raten, der auch weiss, was er da tut, alle anderen sollten warten!

Gast

Gepostet am:23.12.2009 17:13
Gast
Gast (Show more)
Posts: 0
Since:
#7

Aw:: XOOPS 2.4.x ckeditor + ckfinder

@Muki

Kannst Du mir mal ein Tipp geben in welchem Adminmenü ich das einstellen kann.

Muki

Co-Administrator
Gepostet am:23.12.2009 15:53
Muki
Muki Offline (Show more)
Co-Administrator
Posts: 1903
Since: 18.04.2006
#6

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Zitat:

Josef schrieb:
hier muss die Meldung „Der Dateibrowser wurde aus ….“ kommen, ansonsten besteht hier ein Sicherheitsrisiko.
Die Konfigurationseinstellungen des CKFINDERS werden über das Script: …/class/xoopseditor/ckeditor/ckfinder/config.php eingestellt.
Standardmäßig wird dort in der Funktion CheckAuthentication() false zurückgegeben.
Ändert man diesen Wert auf true, ohne sich vorher Gedanken darüber zu machen, was er für Auswirkungen hat, dann kommt es zu der Sicherheitslücke.


Richtig!

Nur hat hier niemand was zu Suchen der nicht genau weiß was er macht.

Der Editor ist Standardmäßig richtig Konfiguriert. Sollte jemand direkt an einer php Datei selbst herumstricken, geschieht dieses immer auf eigene Verantwortung.

Soll was unter Xoops konfiguriert werden, ist hierfür das Adminmenu zuständig.

Trotzdem danke für deinen Hinweis.

Muki
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).

Gast

Gepostet am:23.12.2009 12:59
Gast
Gast (Show more)
Posts: 0
Since:
#5

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Und genau da liegt der Hacken. Ob er dann richtig konfiguriert ist, kann man sehr schnell herausfinden. Einfach mal die htmlseite vom ckfinder direkt aufrufen.
http://deine webseite/class/xoopseditor/ckeditor/ckfinder/ckfinder.html
hier muss die Meldung „Der Dateibrowser wurde aus ….“ kommen, ansonsten besteht hier ein Sicherheitsrisiko. Die Konfigurationseinstellungen des CKFINDERS werden über das Script: …/class/xoopseditor/ckeditor/ckfinder/config.php eingestellt. Standardmäßig wird dort in der Funktion CheckAuthentication() false zurückgegeben. Ändert man diesen Wert auf true, ohne sich vorher Gedanken darüber zu machen, was er für Auswirkungen hat, dann kommt es zu der Sicherheitslücke. Hier mal ein Code-Beispiel wie man eine Authentifizierung einbinden kann. Die Nutzung des CKFINDERS wird dabei auf den Admin beschränkt. Script …/class/xoopseditor/ckeditor/ckfinder/config.php
<?php
 
..
 
$current_path dirname(__FILE__);
 if ( 
DIRECTORY_SEPARATOR != "/" ) {
    
$current_path str_replaceDIRECTORY_SEPARATOR"/"$current_path);
 }
 
$xoops_root_path substr($current_path0strpos(strtolower($current_path), "/class/xoopseditor/ckeditor/ckfinder"));
 include_once 
$xoops_root_path "/mainfile.php";
 if (!
defined("XOOPS_ROOT_PATH")) die('xoops_root_path incorrect');
 include_once 
$GLOBALS['xoops']->path('include/cp_functions.php');

function 
CheckAuthentication()
{
    
$Authorized false;
    global 
$xoopsUser;

    if (
$xoopsUser) {
     if (
$xoopsUser->isAdmin()) 
        
$Authorized true;
    }

     return 
$Authorized;
}
Frohe Weihnachten

alfred

Administrator
Gepostet am:15.12.2009 19:54
alfred
alfred Offline (Show more)
Administrator
Posts: 7618
Since: 06.12.2004
#4

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Standardmäßig ist alles deaktiviert, von daher kann ich das so nicht bestätigen.

Das 'Risiko' wie du es nennst besteht bei jedem Editor, der html zulässt (und php auch), das sollte man vor Einsatz auch im Auge behalten.

Wenn das Teil richtig konfiguriert ist, kann man tolle Sachen damit machen

Gast

Gepostet am:14.12.2009 22:51
Gast
Gast (Show more)
Posts: 0
Since:
#3

Aw:: XOOPS 2.4.x ckeditor + ckfinder

der ckfinder unterbindet nicht das hochladen von php- und html-Dateien. Somit ist es möglich die Konfigurationsdaten von xoops auszulesen.

Das ist aber nicht der Standard. Um dies zu erreichen müssen schon die Konfigurationsparameter verändert werden.

sittel

Moderator
Gepostet am:14.12.2009 20:07
sittel
sittel Offline (Show more)
Moderator
Posts: 609
Since: 28.03.2005
#2

Aw:: XOOPS 2.4.x ckeditor + ckfinder

Zitat:
ckeditor hat in Verbindung mit dem ckfinder ist ein sehr hohes Sicherheitsrisiko

Worin genau besteht das sehr hohe Sicherheitsrisiko? Eventuell solltest Du es auch einmal auf XOOPS.org posten.

Gast

Gepostet am:14.12.2009 19:52
Gast
Gast (Show more)
Posts: 0
Since:
#1

XOOPS 2.4.x ckeditor + ckfinder

Der mit 2.4.0 implementierte ckeditor hat in Verbindung mit dem ckfinder ist ein sehr hohes Sicherheitsrisiko. Die Benutzung sollte man vorerst auf den administrativen Bereich beschränken. (Wenn er dann funktioniert!!)
Hier heißt es erst mal abwarten bis der Editor richtig implementiert wird.
Ich möchte ja nicht die Arbeit der Entwickler schlecht machen, aber diese Implementation ist schon grauenhaft.

Diesen Thread durchsuchen:  1 Anonyme Benutzer

Aktuell aus dem Forum

Forum Thema Antworten Views Letzter Beitrag
OffOffTopic [Wichtig] Übernahme myXOOPS 0 491 11.12.2023 18:57
alfred Gehe zum letzten Beitrag
Die Installation und Administration von XOOPS 2.5.X [Offen] Upgrade 2.5.11 3 2202 07.05.2023 07:03
Goffy Gehe zum letzten Beitrag