Download Topics and Posts erneuert

Hier die Newsecke (Kein Support!)
Antworten
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Download Topics and Posts erneuert

Beitrag von oxpus »

Der Mod erlaubte es bislang, Topics und Posts herunterzuladen, auf die man keinen Zugriff hatte.
Die aktuell verfügbare Version 1.0.6 behebt dieses Sicherheitsproblem.

Ein Update ist dringend anzuraten!!!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Oha, wird sofort in angriff genommen. :)
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

ich musste bei mir folgende Zeile ändern:

Das:

Code: Alles auswählen

	$sql_download = ( $download != -1 ) ? " AND p.post_id = intval($download) " : '';
umgewandelt in:

Code: Alles auswählen

	$sql_download = ( $download != -1 ) ? 'AND p.post_id = ' . intval($download) : '';
^^
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Oh danke. Hatte das natürlich nur bei mir drinnen und in der Anleitung vergessen.

Für alle, die diesen Mod bereits eingebaut hatten (bis Version 1.0.6 vor 18:50 Uhr!):
Der Block in der viewtopic.php ab

Code: Alles auswählen

if ($download)
muss hinter

Code: Alles auswählen

//
// End session management
//
verschoben werden, sonst funktioniert der Mod nicht korrekt!
Zuletzt geändert von oxpus am Mo 11.Apr, 2005 18:55, insgesamt 2-mal geändert.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Benutzeravatar
Bootenks
Beiträge: 1836
Registriert: Sa 29.Mai, 2004 23:36
Wohnort: G?rlitz (?stlichste Stadt Deutschlands)

Beitrag von Bootenks »

Und dann würde das auch ohne der Änderung wie ich sie gemacht hab klappen? Oder wie jetzt. O.o Also die Änderungen müssen ja so oder so gemacht werden da er die Variable ja ansonsten nicht als diese erkennt sondern als String. ^^ Oder verstehe ich das richtig, dass dir aufgrund meines posts einfgefallen ist das der if Block unter das // End Session Management kommt?

EDIT: Alles klar. Du nutzt die Session Daten um Unbefugte davon abzuhalten den Topic/Beitrag herunterzuladen. Deswegen dahinter. ^^
Zuletzt geändert von Bootenks am Mo 11.Apr, 2005 19:01, insgesamt 2-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Genau.
Somit ist diese Funktion dann auch erst wieder "sicher" ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

Hi,

also ich habe folgendes Problem. *peinlich

Ein Forum ist bei mir 'private'.

Ich hab als Mitglied dieses privaten Forum mal ein Topic abgespeichert, bzw. mir diesen Link kopiert:
http://localhost/board/viewtopic.php?download=-1&t=41

Den hab ich mal im Browser eingefügt mit dem ich als Testuser eingeloggt bin und keinen
Zugriff auf dieses Forum habe.

Ich konnte dieses Topic abspeichern. Gewollt?


Gruß Stöbi


EDIT:
Ich hab mal in diesem private Forum mir den link der "printable version" kopiert und im Browser,
wo ich als Testuser eingeloggt bin und keinen Zugriff aufs private Forum habe, eingefügt:
http://localhost/board/printview.php?t=41&start=0

Als Antwort bekomme ich: Nur Benutzer mit speziellen Rechten haben die Berechtigung, in diesem Forum Beiträge zu lesen.
Zuletzt geändert von Stoebi am Di 12.Apr, 2005 17:06, insgesamt 1-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Neueste Version des Mods installieren, dann kommt die gleiche Fehlermeldung :D
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

Sorry @Oxpus, ich sollte mal wieder eine Pause einlegen.

Ich hätte einfach mal den Link auch downloaden lassen ...

Tut mir aufrichtig leid.

Funktioniert einwandfrei.


Gruß Stöbi


EDIT:
Ich wollte gerne in diesem Thread bleiben, weil der folgende Fehler indirekt damit zu tun hat.

Wenn ich mit Firefox oder Opera als User einen mir zugespielten Link aufrufe, der aus einem
privaten Forum stammt, erhalte ich die richtige Meldung:
Nur Benutzer mit speziellen Rechten haben die Berechtigung, in diesem Forum Beiträge zu lesen.

Aber ganz oben erscheint eine Fehlermeldung:
Warning: ob_start(): output handler 'ob_gzhandler' cannot be used twice in ../html/phpbb2/includes/page_header.php on line 44

Das ist der Part, der angesprungen wird in der page_header Datei:

Code: Alles auswählen

//
// gzip_compression
//
$do_gzip_compress = FALSE;
if ( $board_config['gzip_compress'] )
{
	$phpver = phpversion();

	$useragent = (isset($_SERVER["HTTP_USER_AGENT"]) ) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT;

	if ( $phpver >= '4.0.4pl1' && ( strstr($useragent,'compatible') || strstr($useragent,'Gecko') ) )
	{
		if ( extension_loaded('zlib') )
		{
			ob_start('ob_gzhandler');
		}
	}
	else if ( $phpver > '4.0' )
	{
		if ( strstr($HTTP_SERVER_VARS['HTTP_ACCEPT_ENCODING'], 'gzip') )
		{
			if ( extension_loaded('zlib') )
			{
				$do_gzip_compress = TRUE;
				ob_start();
				ob_implicit_flush(0);

				header('Content-Encoding: gzip');
			}
		}
	}
}
Ist denn die Abfrage heutzutage noch sinnvoll?

Code: Alles auswählen

	if ( $phpver >= '4.0.4pl1' && ( strstr($useragent,'compatible') || strstr($useragent,'Gecko') ) )

Gruß Stöbi
Zuletzt geändert von Stoebi am Di 12.Apr, 2005 19:04, insgesamt 8-mal geändert.
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Du solltest mal den Code-Code Deines Boards auf 2.0.13 aktualisieren.
Dieser Code-Block ist veraltet!!!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

[quote="oxpus - Di 12.Apr, 2005 20:54";p="28449"]Du solltest mal den Code-Code Deines Boards auf 2.0.13 aktualisieren.
Dieser Code-Block ist veraltet!!![/quote]

??? Verstehe ich nicht.

Ich hab im Dezember phpbb2 1.52 herunter geladen und installiert. Dann die Sicherheitspatches von 2.0.12 und wenig später 2.0.13 eingespielt.

Da war nichts mit Anpassung einer page_header.php. :confused:



Gruß Stöbi


EDIT:
Eben gerade mal mit page_header.php von phpbb2 1.53 b5 verglichen. Ist derselbe Part.

EDIT2:
Eben phpbb2.0.13 von phpbb.com herunter geladen. Auch dieser Part ist derselbe wie in phpbb2
1.52 und 1.53. ???
Zuletzt geändert von Stoebi am Di 12.Apr, 2005 21:38, insgesamt 3-mal geändert.
Benutzeravatar
AmigaLink
Beiträge: 5843
Registriert: Mi 03.Mär, 2004 09:05
Wohnort: NRW
Kontaktdaten:

Beitrag von AmigaLink »

Der fast & furious mod ändert die gzip compression (also den obigen code).
Vielleicht hat oxpus das jetzt mit phpBB updaten verwechselt. :confused:
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________

Kein Support per PM, ICQ oder eMail!!!
[/center]
Stoebi
Beiträge: 447
Registriert: Do 24.Feb, 2005 16:35
Wohnort: Berlin
Kontaktdaten:

Beitrag von Stoebi »

[quote="AmigaLink - Di 12.Apr, 2005 23:02";p="28475"]Der fast & furious mod ändert die gzip compression (also den obigen code).
Vielleicht hat oxpus das jetzt mit phpBB updaten verwechselt. :confused:[/quote]

Gesucht, gefunden, installiert, happy ^b


Vielen Dank, schönen Abend noch. Für heute ist genug.


Gruß Stöbi
Benutzeravatar
oxpus
Administrator
Beiträge: 28737
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus »

Ach jo, stümmt.
Hatte da vergessen, was ich so an Mods mittlerweile in OXPUS.de vereinnahmt hab.
:!:
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Antworten