"This file uploader is disabled." - FCK Editor

[web28]

Damit es keine Missverständnisse gibt:

Der FIX von mir ist kein Sicherheitsrisiko sondern schaltet die Upload Funktion nur für eingeloggte Admins frei!
Ohne dem Fix waren selbst diese ausgesperrt.

Über die Upload Reiterkarte funktioniert das leider nicht.

Gruss Web28

[atomix]

Damit es keine Missverständnisse gibt:

Der FIX von mir ist kein Sicherheitsrisiko sondern schaltet die Upload Funktion nur für eingeloggte Admins frei!
Ohne dem Fix waren selbst diese ausgesperrt.

Über die Upload Reiterkarte funktioniert das leider nicht.

Gruss Web28

Hallo Web28

Ich bin neu hier und hatte das gleichen Uploadproblem (modified eCommerce Shopsoftware-1.05-SP1d).
Mein Vorschlag, im in unverändertem modified eCommerce Shopsoftware-1.05-SP1d:
In der admin\includes\modules\fckeditor\editor\filemanager\connectors\php\xtc_access.php
Zeile 13: $secure_id = $_GET['sid'];
ersetzen durch: $secure_id = $_COOKIE['XTCsid'];

Damit greift der Security-Check direkt auf das Session-COOKIE zu.
Damit geht bei mir der Upload sowohl im Filebrowser als auch über die Registerkarte Upload.

Normalerweise sollte ich mir damit keine zusätzlichen Sicherheitsrisiken einhandeln, oder was meint ihr?

[web28]

Bei PHP 5.3 ist $_COOKIE in der Regel nicht mehr verfügbar.

Gruss Web28

[atomix]

Bei PHP 5.3 ist $_COOKIE in der Regel nicht mehr verfügbar.

Das war mir noch unbekannt.
(Wie greifen denn dann die 5.3er auf ihre Cookies zu?)

lg

[cYbercOsmOnauT]

Bei PHP 5.3 ist $_COOKIE in der Regel nicht mehr verfügbar.

Das war mir noch unbekannt.

Mir ehrlich gesagt auch. Verwechselst Du $_COOKIES vielleicht mit $HTTP_COOKIE_VARS web28?
http://php.net/manual/de/reserved.variables.cookies.php

Da steht nichts von deprecated bei $_COOKIES.

Ich habs mal schnell auf der Shell eines Kunden ausprobiert.

Code: [Auswählen]

ds87-230-102-57:~# php -version
PHP 5.3.3-7+squeeze13 with Suhosin-Patch (cli) (built: Jun 10 2012 07:31:32)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2010 Zend Technologies
    with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH
ds87-230-102-57:~# php -r "var_dump(\$_COOKIE);"
array(0) {
}Das es keine Cookies in der Shell gibt ist natürlich klar. Ich wollte auch lediglich testen ob PHP die Superglobale überhaupt kennt/erzeugt.

[Schreinermeister]

Hallo

Ich komm hier einfach nicht weiter.

Mit dem SP1d  und dem Fix von hier erhalte ich immer noch die Fehlermeldung.

Code: PHP  [Auswählen]

This connector is disabled. Please check the "editor/filemanager/connectors/php/config.php" file

Ich habe versuchsweise die Dateien aus dem SP1c hochgeladen. Diese funktionieren wie gewohnt.

Es geht um die Gegisterkarte "Bild-Info" und den Button "Server durchsuchen".

Gibts ev. hierzu was neues oder ev einen Tipp?

Gruß Chris

[web28]

Hallo

Ich komm hier einfach nicht weiter.

Mit dem SP1d  und dem Fix von hier erhalte ich immer noch die Fehlermeldung.

Code: PHP  [Auswählen]

This connector is disabled. Please check the "editor/filemanager/connectors/php/config.php" file

Ich habe versuchsweise die Dateien aus dem SP1c hochgeladen. Diese funktionieren wie gewohnt.

Es geht um die Gegisterkarte "Bild-Info" und den Button "Server durchsuchen".

Gibts ev. hierzu was neues oder ev einen Tipp?

Gruß Chris

Mit dem Fix sollte es funktionieren ("Bild-Info" Button "Server durchsuchen"). Allerdings muss der Browsercache geleert werden, vorher funktioniert es nicht, da die Dateien aus dem Cache gezogen werden.

Gruss Web28

[Schreinermeister]

Hallo

Nix zu machen.

Ich habe den Browsercache und auch "sicherheitshalber" den Template- und Shopcache gelöscht.

Auch mit verschiedenen Browsern getestet.

Ich versuchs morgen nochmal 

Gruß Chris

[atomix]

Hallo
Ich komm hier einfach nicht weiter.
Mit dem SP1d  und dem Fix von hier erhalte ich immer noch die Fehlermeldung.

Code: PHP  [Auswählen]

This connector is disabled. Please check the "editor/filemanager/connectors/php/config.php" file

Ich habe versuchsweise die Dateien aus dem SP1c hochgeladen. Diese funktionieren wie gewohnt.
Es geht um die Gegisterkarte "Bild-Info" und den Button "Server durchsuchen".
Gibts ev. hierzu was neues oder ev einen Tipp?
Gruß Chris

Hallo Chris,
ich hatte auch diese Fehlermeldung.
Bei mir half die weiter oben bereits geschilderte kleine Änderung in admin\includes\modules\fckeditor\editor\filemanager\connectors\php\xtc_access.php
Seit dem Funktioniert es und bisher hatte ich auch noch keine Probleme. Habe allerdings modified eCommerce Shopsoftware-1.05-SP1d verwendet)
Viele Grüße

[h-h-h]

Guten Morgen atomix,
ich hoffe du meinst nicht das, was ich befürchte.

Besten Gruß

h-h-h

[atomix]

Jetzt stehe ich irgendwie Schlauch? Was meinst du?
Um Missverständnissen vorzubeugen: Auf keinen Fall den Security-Check abschalten!
Soweit ich das verstanden habe, wird in xtc_access.php geprüft, ob der admin ordnungsgemäß angemeldet ist und die Berechtigung für den Upload existiert.
Das Problem war, dass die Session-ID nicht korrekt vom Upload-Formular übernommen werden konnte.
Mein Fix besteht darin, dass die Session-ID nicht mehr per GET aus dem Formular erwartet wird
(xtc_access.php:Z12:$secure_id = $_GET['sid'];  )
sonder direkt aus den Cookies
(xtc_access.php:Z12-NEU: $secure_id = $_COOKIE['XTCsid'];  )
Somit steht die sid wieder zur Verfügung und der Check funktioniert, wie er ursprünglich geplant war.

Einziger Wermutstropfen: Damit der Upload funktioniert MUSS der admin-Browser Cookies auch akzeptieren, aber damit kann ich leben

[Schreinermeister]

Mein Fix besteht darin, dass die Session-ID nicht mehr per GET aus dem Formular erwartet wird
(xtc_access.php:Z12:$secure_id = $_GET['sid'];  )
sonder direkt aus den Cookies
(xtc_access.php:Z12-NEU: $secure_id = $_COOKIE['XTCsid'];  )
Somit steht die sid wieder zur Verfügung und der Check funktioniert, wie er ursprünglich geplant war.

Einziger Wermutstropfen: Damit der Upload funktioniert MUSS der admin-Browser Cookies auch akzeptieren, aber damit kann ich leben

Hallo

Damit funktionierts.  DANKE!

Gruß Chris

[ShopNix]

Da ich nun auch dieses Problem hatte, mußte ich mich ebenfalls mit dem Ding auseinandersetzen. Daher ein paar Anmerkungen:

Mein System läuft auf Debian mit aktuellem Stand, also PHP 5.3.3-7+squeeze13 with Suhosin-Patch.

$_REQUEST['XTCsid'] existiert nicht, $_COOKIE['XTCsid'] ist hingegen vorhanden. Dazu schreibt http://www.php.net/manual/en/ini.core.php#ini.request-order

  request_order  string

This directive describes the order in which PHP registers GET, POST and Cookie variables into the _REQUEST array. Registration is done from left to right, newer values override older values.

If this directive is not set, variables_order is used for $_REQUEST contents.

Note that the default distribution php.ini files does not contain the 'C' for cookies, due to security concerns.

Weiter hat auf meinem System die Auflösung der Sessiondaten in xtc_access.php nicht wie geplant funktioniert. Ich bekam also auf jeden Fall ein "false" zurück. Nun bin ich hergegangen und habe mir aus der Tabelle whos_online die customers_id abgegriffen, und wenn diese größer 0 und kleiner 6 ist, dann triffts einen Admin. Das kann natürlich keine generelle Lösung sein, aber für mich reicht's vorerst.

Zudem fiel mir bei der Gelegenheit auf, daß die Pfade in der config.php des Editors verbesserungsfähig sind. Aktuell landen die Dateien im Pfad images des Shops und brechen somit die ordentliche Struktur auf. Wäre es nicht sinnvoller, diese Dateien entweder in einem separaten Verzeichnis unter images oder evtl. unter media abzulegen? Dann könnte man nämlich dem jeweiligen Sachbearbeiter auch einen eigenen Zugang auf dieses Verzeichnis legen.

Alles nichts wirklich dramatisches, aber als kleiner Hinweis für's künftige Release möglicherweise zu berücksichtigen.

Hier noch mein Code:

Code: PHP  [Auswählen]

<?php
/* FCKEditor Filemanger xtc_access v.0.94(c) 2012 by web28 - www.rpa-com.de
*  changed by ShopNix 2012-07-18
*/
require_once('../../../../../../configure.php');
require_once(DIR_FS_INC . 'xtc_db_connect.inc.php');

xtc_db_connect();// or die('Unable to connect to database server!');

$Config['Enabled'] = false;

if (isset($_COOKIE['XTCsid'])) {
  $secure_id = mysql_real_escape_string($_COOKIE['XTCsid']);
  $result = mysql_query("
                        SELECT max(customer_id) from whos_online
                        WHERE session_id = '$secure_id'");
        if ($row = mysql_fetch_array($result)) {
                if ($row[0] > 0 and $row[0] < 6)
                        $Config['Enabled'] = true;
        }      
}
?>

 

[EarthPlague]

Bei mir leider auch das selbe Problem. Fix drüber, Browser Cache geleert, template_c geleert...Dennoch diese Fehlermeldung bei Firefox und Opera.

[ShopNix]

Bei mir leider auch das selbe Problem. Fix drüber, Browser Cache geleert, template_c geleert...Dennoch diese Fehlermeldung bei Firefox und Opera.

Inzwischen bin ich ein wenig schlauer. Auf meinem System verschlüsselt der Suhosin Patch die Session-Daten. Deshalb funktioniert der Abgleich nicht. Caches mußte ich übrigens zu keinem Zeitpunkt leeren, neu laden per "strg r" im Firefox reichte.