Projektplan 2.00

[Fubu]

Hallo,
ich habe mir mal den Projektplan 2.00 angeschaut und wollte wissen wo dieser Link aus Ticket #178 hingeht was seit 3 Monate Unbeantwortet ist.

Dann bekomme ich aber folgende Meldung

Das Thema dass Sie anschauen möchten, existiert nicht oder ist für Sie nicht einsehbar.

jetzt Frage ich mich warum da seiut 3 Monate nichts mit passiert.

Link zum Ticket
https://trac.modified-shop.org/ticket/178

Linkback: https://www.modified-shop.org/forum/index.php?topic=29464.0

[jannemann]

Hallo Fubu,

der Link zeigt auf einen internen Bereich, daher bekommst du den o.g. Hinweis.

Schöne Grüße,
Jan

[ShopNix]

jetzt Frage ich mich warum da seiut 3 Monate nichts mit passiert.
[...]
https://trac.modified-shop.org/ticket/178

Gute Frage, auch wenn Du von mir eine Ablehnung für dieses Ticket bekommen hättest.

Vermutlich ist das Core-Team aktuell überwiegend mit Osteraktionen beschäftigt. 

[Fubu]

@ jannemann
Danke.

@ ShopNix
wiso eine Ablehnung ?
Ich habe gedacht der Link würde Zeigen was da wirklich los ist.

aber Gut jetzt weis ich ja bescheid das es so nicht ist.

[ShopNix]

Ich weiß nicht, was der Link anzeigt, ich gehöre nicht zum Team.

Abgelehnt hätte ich, weil ich das an der Stelle für überflüssig bis gefährlich halte. Wenn Du für irgendeinen Zweck PHP-Dateien über den Admin hochladen willst, kannst Du das selbst anpassen.

[Quelk]

Wenn man schon so meckert, sollte man vorher auch genau lesen.

Das Ticket wurde von web28 erstellt und nicht von Fubu.

[noRiddle (revilonetz)]

Das Ticket basiert auf einem Post meiner Wenigkeit im Experten-Forum.
Da man im Contentmanager Dateien aus /media/content anstelle von "normalem" Inhalt verwenden kann, sollte man sie auch hochladen können.
Ich habe so beispielsweise ein Händler- und ein Reklamations-/Widerrufsformular verwirklicht.

Was daran gefährlich sein soll weiß ich nicht.
Man muß nicht immer alle und jeden für unmündig halten, das versucht der Staat schon mit Anschnallpflicht im Auto und diskutierter Helmpflicht bei Fahrradfahrern, das brauche ich nicht noch von meiner Software.

Das ist mein Text bzgl. des Themas im Experten-Forum:

Mich wunderte schon immer, daß man im Content.Manager keine *.php-Dateien uploaden konnte.
Habe daraufhin in /admin/content_manager.php die beiden Arrays
$accepted_file_upload_files_extensions
$accepted_file_upload_files_mime_types
jeweils um die erforderlichen Einträge erweitert
und wunderte mich, daß trotzdem die Meldung ausgegeben wurde
"Fehler: Dateityp ist nicht erlaubt.".

Nun stellte ich fest, daß in der upload-class das hier zu finden ist:
 

Code: PHP  [Auswählen]

   //BOF - DokuMan - 2010-08-31 - disable upload of php files and htaccess/htpasswd to avoid uploading of malicious scripts
            if (in_array(strtolower(substr($file['name'], strrpos($file['name'], '.')+1)), array('php', 'php3', 'php4', 'php5', 'phtml'))) {
                $messageStack->add_session(ERROR_FILETYPE_NOT_ALLOWED, 'error');
                return false;
            }
            if ($file['name'] == '.htaccess' || $file['name'] == '.htpasswd') {
                $messageStack->add_session(ERROR_FILETYPE_NOT_ALLOWED, 'error');
                return false;
            }
            //EOF - DokuMan - 2010-08-31 - disable upload of php files and htaccess/htpasswd to avoid uploading of malicious scripts

Hat das einen tieferen Sinn als den angegebenen ?
Es muß doch möglich sein sich z.B. selbst erstellte Formulare o.ä, in den Content-Manager zu laden.
Außerdem werden damit die o.g. Arrays ad absurdum geführt oder zumindest unerwartet weiter eingeschränkt.
Die genannten Arrays sollten doch ausreichen und jeder kann sie sich selbst erweitern wenn Bedarf besteht.
Die Arrays sind außerdem viel zu umfangreich.
Es wären sinnvollerweise nur nötig:
*.html, *.php und evtl. ein paar Bild-Typen.

Was meint Ihr ?

Damit düfte auch klar sein wie man das ändern kann, daß keine *.php-Files erlaubt werden.

Gruß,
noRiddle

[ShopNix]

Was daran gefährlich sein soll weiß ich nicht.
Man muß nicht immer alle und jeden für unmündig halten, das versucht der Staat schon mit Anschnallpflicht im Auto und diskutierter Helmpflicht bei Fahrradfahrern, das brauche ich nicht noch von meiner Software.

Hmm. Bezüglich der Helmpflicht für Fahrradfahrer stimme ich Dir zu, aber das "Spezialisten", die FTP nicht bedienen können, ausführbare Dateien auf meinen Server laden, mag ich nicht. Aber wir müssen nicht unbedingt immer gleicher Meinung sein.

[webald]

Ich sehe das ähnlich. Ausführbare Dateien sind Sache es Webmasters und nicht des Shopadmins. Am Ende lädt der Shopadmin irgendein Script hoch, weil es so einfach ist und baut eine Sicherheitslücke damit in den Shop ein oder führt SQL-Abfragen aus ohne die Businesslogik des Shops zu beachten und zurück bleibt Datenmüll oder Inkonsistenzen.

Habe ich mir jetzt zwar nicht angesehen, aber es gibt doch auch Module, die es den Besucher erlauben Daten hochzuladen (Kunde stellt Artikel in Shop, Reklamationsformular mit Bildern, Gewerbeanmeldung, ...) Wird hier (auch ausversehen) erlaubt php-Dateien hochzuladen, dann kann jeder alle Daten übernehmen.

[noRiddle (revilonetz)]

@ShopNix
Wieso laden die Dateien auf "deinen" Server ?, wenn, doch auf ihren eigenen ?
Wenn jemand Mist programmiert und das hochlädt kann er auch Mist programmieren und es per FTP hochladen.
Wenn jemand ein korruptes Script von jemand drittem hat und es hochlädt kann das gleiche per FTP passieren.
Einen FTP-Client bedienen zu können macht ja einen Laien nun nicht zu einem code-verstehenden Wissenden.

Aber wie du schon sagst, wir müssen sicher darüber nicht einer Meinung sein.

@Fubu
Was willst du eigtl. genau sagen mit

...jetzt Frage ich mich warum da seiut 3 Monate nichts mit passiert.

?

Über diese Aussage könnte ich ein Buch schreiben.

• Wo steht, daß da innerhalb deiner willkürlich festgelegten drei Monate etwas "passieren" sollte ?
  Das setzt voraus,
  
  • daß es das Team nicht sieht wie ShopNix
  • daß das Team nichts anderes (wichtigeres) zu tun hätte
  und ein Ticket eröffnen heißt nicht, daß es einen Bug gibt der gefixt werden muß (am besten innerhalb deiner drei Monate) sondern, daß man sich das näher anschauen und beurteilen möchte.
• Warum überhaupt sagst du das ?
  Suchst du eine Lösung ?
  Die gab' ich oben.

@webald
Was hat denn deine kontextbrüchige Aussage über den Upload eines Dritten, eines Besuchers der Seite, mit dem Thema zu tun ?

Gruß,
noRiddle

[webald]

@webald
Was hat denn deine kontextbrüchige Aussage über den Upload eines Dritten, eines Besuchers der Seite, mit dem Thema zu tun ?

Ganz einfach. Nutzen andere Module ebenfalls die upload-class und Du erlaubst den Upload für php-Dateien, dann kann u. U. jeder Besucher ebenfalls php-Dateien hochladen und ausführen, auch wenn Du das nur für den Admin vor hattest.

[Fubu]

@ noRiddle
Du hast immer irgendwo was zum Meckern oder ?

willkürlich festgelegten drei Monate

Das ist ja garnicht von mir sondern vor 3 Monate ist das Ticket erstellt worden.
Bitte richtig den Dateianhang anschauen.

Ich weis ja nicht was Du dir da zusammenreimst.

aber wie gesagt, für mich ist das Thema erledigt.

[noRiddle (revilonetz)]

Häää ?, wie meinen ?
Wer hat behauptet, daß das Ticket von dir sei ?
Liest du auch was ich schreibe oder wolltest du nur einen Spruch loswerden.
Wenn du meinst ich habe überall was zu meckern lebst du anscheinend (wie so viele heutzutage) in deiner eigenen Scheinwelt.

Und was die drei Monate betrifft hast du gesagt

...jetzt Frage ich mich warum da seiut 3 Monate nichts mit passiert.

ich wiederhole mich.

Gerafft hast du jedenfalls nicht annähernd was ich geschrieben habe.
Wenn dein Intellekt dazu nicht ausreicht schweige einfach besser, dann merkt's keiner.

@webald

• wird die Klasse bislang lediglich in der admin/includes/functions/general.php benutzt
• wird die class upload nicht im content_manager benutzt
  und
• will ich ja nichts in der class upload ändern, da gibt's schließlich den Parameter $extensions und er kann nach Bedarf gefüllt werden wo man die Klasse benutzt.

Aber macht was Ihr wollt, ich benötige diese Einschränkung im content_manager nicht.

Gruß,
noRiddle

[ShopNix]

@ShopNix
Wieso laden die Dateien auf "deinen" Server ?, wenn, doch auf ihren eigenen ?

Auf ihren Webspace auf meinem Server, um's mal zu präzisieren. Und wenn dann irgendetwas blödes passiert, bin immer irgendwie ich dran schuld.

Wenn jemand ein korruptes Script von jemand drittem hat und es hochlädt kann das gleiche per FTP passieren.

Im Prinzip ja, aber FTP-Zugriff haben in der Regel nur ausgewählte Leute, im Admin ist in aller Regel auch kaufmännisches Personal ohne derartige Rechte ( und Kenntnisse ) am Werk.

Als Vorschlag zur Güte: Das Array könnte zum Beispiel in config.php in Form einer kommaseparierten Liste hinterlegt sein. Dann kann sich das jeder einfach hinbiegen, wie er es braucht. Eine restriktive Vorgabe würde ich vorziehen.

[Fubu]

ohman wie kann man sich nur so aufregen wie der noRiddle, ich verstehe das nicht.

Der Beitrag bzw meine Frage hat jannemann im 2ten Beirag beantwort und dann kommt noRiddle und die Diskusuion geht los.

Das nenn ich mal User Freundlichkeit.

closed das Thema am besten .....